vendor/pimcore/pimcore/bundles/AdminBundle/EventListener/AdminSecurityListener.php line 54

Open in your IDE?
  1. <?php
  3. /**
  4.  * Pimcore
  5.  *
  6.  * This source file is available under two different licenses:
  7.  * - GNU General Public License version 3 (GPLv3)
  8.  * - Pimcore Commercial License (PCL)
  9.  * Full copyright and license information is available in
  10.  * LICENSE.md which is distributed with this source code.
  11.  *
  12.  *  @copyright  Copyright (c) Pimcore GmbH (http://www.pimcore.org)
  13.  *  @license    http://www.pimcore.org/license     GPLv3 and PCL
  14.  */
  16. namespace Pimcore\Bundle\AdminBundle\EventListener;
  18. use Pimcore\Bundle\AdminBundle\Security\ContentSecurityPolicyHandler;
  19. use Pimcore\Bundle\CoreBundle\EventListener\Traits\PimcoreContextAwareTrait;
  20. use Pimcore\Config;
  21. use Pimcore\Http\Request\Resolver\PimcoreContextResolver;
  22. use Pimcore\Http\RequestHelper;
  23. use Symfony\Component\EventDispatcher\EventSubscriberInterface;
  24. use Symfony\Component\HttpKernel\Event\ResponseEvent;
  25. use Symfony\Component\HttpKernel\KernelEvents;
  27. /**
  28.  * @internal
  29.  */
  30. class AdminSecurityListener implements EventSubscriberInterface
  31. {
  32.     use PimcoreContextAwareTrait;
  34.     /**
  35.      * @param ContentSecurityPolicyHandler $contentSecurityPolicyHandler
  36.      */
  37.     public function __construct(
  38.         protected RequestHelper $requestHelper,
  39.         protected ContentSecurityPolicyHandler $contentSecurityPolicyHandler,
  40.         protected Config $config
  41.     ) {
  42.     }
  44.     /**
  45.      * {@inheritdoc}
  46.      */
  47.     public static function getSubscribedEvents()
  48.     {
  49.         return [
  50.             KernelEvents::RESPONSE => 'onKernelResponse',
  51.         ];
  52.     }
  54.     public function onKernelResponse(ResponseEvent $event)
  55.     {
  56.         if (!$this->config['admin_csp_header']['enabled']) {
  57.             return;
  58.         }
  60.         $request $event->getRequest();
  62.         if (!$event->isMainRequest()) {
  63.             return;
  64.         }
  66.         if (!$this->matchesPimcoreContext($requestPimcoreContextResolver::CONTEXT_ADMIN)) {
  67.             return;
  68.         }
  70.         if ($this->requestHelper->isFrontendRequestByAdmin($request)) {
  71.             return;
  72.         }
  74.         if (!empty($this->config['admin_csp_header']['exclude_paths'])) {
  75.             $requestUri $request->getRequestUri();
  76.             foreach ($this->config['admin_csp_header']['exclude_paths'] as $path) {
  77.                 if (@preg_match($path$requestUri)) {
  78.                     return;
  79.                 }
  80.             }
  81.         }
  83.         $response $event->getResponse();
  85.         // set CSP header with random nonce string to the response
  86.         $response->headers->set('Content-Security-Policy'$this->contentSecurityPolicyHandler->getCspHeader());
  87.     }
  88. }