vendor/captcha-com/symfony-captcha-bundle/Controller/CaptchaHandlerController.php line 22

Open in your IDE?
  1. <?php
  3. namespace Captcha\Bundle\CaptchaBundle\Controller;
  5. use Captcha\Bundle\CaptchaBundle\Support\Path;
  6. use Captcha\Bundle\CaptchaBundle\Support\LibraryLoader;
  7. use Captcha\Bundle\CaptchaBundle\Helpers\BotDetectCaptchaHelper;
  8. use Symfony\Component\HttpFoundation\Response;
  9. use Symfony\Bundle\FrameworkBundle\Controller\Controller;
  10. use Symfony\Component\HttpKernel\Exception\BadRequestHttpException;
  12. class CaptchaHandlerController extends Controller
  13. {
  14.     /**
  15.      * @var object
  16.      */
  17.     private $captcha;
  19.     /**
  20.      * Handle request from querystring such as getting image, getting sound, etc.
  21.      */
  22.     public function indexAction()
  23.     {
  24.         if ($this->isGetResourceContentsRequest()) {
  25.             // getting contents of css, js, and gif files.
  26.             return $this->getResourceContents();
  27.         } else {
  28.             
  29.             $this->captcha $this->getBotDetectCaptchaInstance();
  31.             if (is_null($this->captcha)) {
  32.                 throw new BadRequestHttpException('captcha');
  33.             }
  35.             $commandString $this->getUrlParameter('get');
  36.             if (!\BDC_StringHelper::HasValue($commandString)) {
  37.                 \BDC_HttpHelper::BadRequest('command');
  38.             }
  40.             $commandString = \BDC_StringHelper::Normalize($commandString);
  41.             $command = \BDC_CaptchaHttpCommand::FromQuerystring($commandString);
  42.             $responseBody '';
  43.             switch ($command) {
  44.                 case \BDC_CaptchaHttpCommand::GetImage:
  45.                     $responseBody $this->getImage();
  46.                     break;
  47.                 case \BDC_CaptchaHttpCommand::GetSound:
  48.                     $responseBody $this->getSound();
  49.                     break;
  50.                 case \BDC_CaptchaHttpCommand::GetValidationResult:
  51.                     $responseBody $this->getValidationResult();
  52.                     break;
  53.                 case \BDC_CaptchaHttpCommand::GetScriptInclude:
  54.                     $responseBody $this->getScriptInclude();
  55.                     break;
  56.                 case \BDC_CaptchaHttpCommand::GetP:
  57.                     $responseBody $this->getP();
  58.                     break;
  59.                 default:
  60.                     \BDC_HttpHelper::BadRequest('command');
  61.                     break;
  62.             }
  64.             // disallow audio file search engine indexing
  65.             header('X-Robots-Tag: noindex, nofollow, noarchive, nosnippet');
  66.             echo $responseBody; exit;
  67.         }
  68.     }
  70.     /**
  71.      * Get CAPTCHA object instance.
  72.      *
  73.      * @return object
  74.      */
  75.     private function getBotDetectCaptchaInstance()
  76.     {
  77.         // load BotDetect Library
  78.         $libraryLoader = new LibraryLoader($this->container);
  79.         $libraryLoader->load();
  81.         $captchaId $this->getUrlParameter('c');
  82.         if (is_null($captchaId) || !preg_match('/^(\w+)$/ui'$captchaId)) {
  83.             throw new BadRequestHttpException('Invalid captcha id.');
  84.         }
  86.         $captchaInstanceId $this->getUrlParameter('t');
  87.         if (is_null($captchaInstanceId) || !(32 == strlen($captchaInstanceId) &&
  88.             (=== preg_match("/^([a-f0-9]+)$/u"$captchaInstanceId)))) {
  89.             throw new BadRequestHttpException('Invalid instance id.');
  90.         }
  92.         return new BotDetectCaptchaHelper($captchaId$captchaInstanceId);
  93.     }
  95.     /**
  96.      * Get contents of Captcha resources (js, css, gif files).
  97.      *
  98.      * @return string
  99.      */
  100.     public function getResourceContents()
  101.     {
  102.         $filename $this->getUrlParameter('get');
  104.         if (!preg_match('/^[a-z-]+\.(css|gif|js)$/'$filename)) {
  105.             throw new BadRequestHttpException('Invalid file name.');
  106.         }
  108.         $resourcePath realpath(Path::getPublicDirPathInLibrary($this->container) . $filename);
  110.         if (!is_file($resourcePath)) {
  111.             throw new BadRequestHttpException(sprintf('File "%s" could not be found.'$filename));
  112.         }
  114.         $mimesType = array('css' => 'text/css''gif' => 'image/gif''js'  => 'application/x-javascript');
  115.         $fileInfo pathinfo($resourcePath);
  117.         return new Response(
  118.             file_get_contents($resourcePath),
  119.             200,
  120.             array('content-type' => $mimesType[$fileInfo['extension']])
  121.         );
  122.     }
  124.     /**
  125.      * Generate a Captcha image.
  126.      *
  127.      * @return image
  128.      */
  129.     public function getImage()
  130.     {
  131.         if (is_null($this->captcha)) {
  132.             \BDC_HttpHelper::BadRequest('captcha');
  133.         }
  135.         // identifier of the particular Captcha object instance
  136.         $instanceId $this->getInstanceId();
  137.         if (is_null($instanceId)) {
  138.             \BDC_HttpHelper::BadRequest('instance');
  139.         }
  141.         // image generation invalidates sound cache, if any
  142.         $this->clearSoundData($instanceId);
  144.         // response headers
  145.         \BDC_HttpHelper::DisallowCache();
  147.         // response MIME type & headers
  148.         $mimeType $this->captcha->CaptchaBase->ImageMimeType;
  149.         header("Content-Type: {$mimeType}");
  151.         // we don't support content chunking, since image files
  152.         // are regenerated randomly on each request
  153.         header('Accept-Ranges: none');
  155.         // image generation
  156.         $rawImage $this->captcha->CaptchaBase->GetImage($instanceId);
  157.         $this->captcha->CaptchaBase->SaveCodeCollection();
  159.         $length strlen($rawImage);
  160.         header("Content-Length: {$length}");
  161.         return $rawImage;
  162.     }
  164.     /**
  165.      * Generate a Captcha sound.
  166.      */
  167.     public function getSound()
  168.     {
  169.         if (is_null($this->captcha)) {
  170.             \BDC_HttpHelper::BadRequest('captcha');
  171.         }
  173.         // identifier of the particular Captcha object instance
  174.         $instanceId $this->getInstanceId();
  175.         if (is_null($instanceId)) {
  176.             \BDC_HttpHelper::BadRequest('instance');
  177.         }
  179.         $soundBytes $this->getSoundData($this->captcha$instanceId);
  181.         if (is_null($soundBytes)) {
  182.             \BDC_HttpHelper::BadRequest('Please reload the form page before requesting another Captcha sound');
  183.             exit;
  184.         }
  186.         $totalSize strlen($soundBytes);
  188.         // response headers
  189.         \BDC_HttpHelper::SmartDisallowCache();
  191.         // response MIME type & headers
  192.         $mimeType $this->captcha->CaptchaBase->SoundMimeType;
  193.         header("Content-Type: {$mimeType}");
  194.         header('Content-Transfer-Encoding: binary');
  196.         if (!array_key_exists('d'$_GET)) { // javascript player not used, we send the file directly as a download
  197.             $downloadId = \BDC_CryptoHelper::GenerateGuid();
  198.             header("Content-Disposition: attachment; filename=captcha_{$downloadId}.wav");
  199.         }
  201.         if ($this->detectIosRangeRequest()) { // iPhone/iPad sound issues workaround: chunked response for iOS clients
  202.             // sound byte subset
  203.             $range $this->getSoundByteRange();
  204.             $rangeStart $range['start'];
  205.             $rangeEnd $range['end'];
  206.             $rangeSize $rangeEnd $rangeStart 1;
  208.             // initial iOS 6.0.1 testing; leaving as fallback since we can't be sure it won't happen again:
  209.             // we depend on observed behavior of invalid range requests to detect
  210.             // end of sound playback, cleanup and tell AppleCoreMedia to stop requesting
  211.             // invalid "bytes=rangeEnd-rangeEnd" ranges in an infinite(?) loop
  212.             if ($rangeStart == $rangeEnd || $rangeEnd $totalSize) {
  213.                 \BDC_HttpHelper::BadRequest('invalid byte range');
  214.             }
  216.             $rangeBytes substr($soundBytes$rangeStart$rangeSize);
  218.             // partial content response with the requested byte range
  219.             header('HTTP/1.1 206 Partial Content');
  220.             header('Accept-Ranges: bytes');
  221.             header("Content-Length: {$rangeSize}");
  222.             header("Content-Range: bytes {$rangeStart}-{$rangeEnd}/{$totalSize}");
  223.             return $rangeBytes// chrome needs this kind of response to be able to replay Html5 audio
  224.         } else if ($this->detectFakeRangeRequest()) {
  225.             header('Accept-Ranges: bytes');
  226.             header("Content-Length: {$totalSize}");
  227.             $end $totalSize 1;
  228.             header("Content-Range: bytes 0-{$end}/{$totalSize}");
  229.             return $soundBytes;
  230.         } else { // regular sound request
  231.             header('Accept-Ranges: none');
  232.             header("Content-Length: {$totalSize}");
  233.             return $soundBytes;
  234.         }
  236.     }
  238.     public function getSoundData($p_Captcha$p_InstanceId)
  239.     {
  240.         $shouldCache = (
  241.             ($p_Captcha->SoundRegenerationMode == \SoundRegenerationMode::None) || // no sound regeneration allowed, so we must cache the first and only generated sound
  242.             $this->detectIosRangeRequest() // keep the same Captcha sound across all chunked iOS requests
  243.         );
  245.         if ($shouldCache) {
  246.             $loaded $this->loadSoundData($p_InstanceId);
  247.             if (!is_null($loaded)) {
  248.                 return $loaded;
  249.             }
  250.         } else {
  251.             $this->clearSoundData($p_InstanceId);
  252.         }
  254.         $soundBytes $this->generateSoundData($p_Captcha$p_InstanceId);
  255.         if ($shouldCache) {
  256.             $this->saveSoundData($p_InstanceId$soundBytes);
  257.         }
  258.         return $soundBytes;
  259.     }
  261.     private function generateSoundData($p_Captcha$p_InstanceId)
  262.     {
  263.         $rawSound $p_Captcha->CaptchaBase->GetSound($p_InstanceId);
  264.         $p_Captcha->CaptchaBase->SaveCodeCollection(); // always record sound generation count
  265.         return $rawSound;
  266.     }
  268.     private function saveSoundData($p_InstanceId$p_SoundBytes)
  269.     {
  270.         SF_Session_Save("BDC_Cached_SoundData_" $p_InstanceId$p_SoundBytes);
  271.     }
  273.     private function loadSoundData($p_InstanceId)
  274.     {
  275.         return SF_Session_Load("BDC_Cached_SoundData_" $p_InstanceId);
  276.     }
  278.     private function clearSoundData($p_InstanceId)
  279.     {
  280.         SF_Session_Clear("BDC_Cached_SoundData_" $p_InstanceId);
  281.     }
  284.     // Instead of relying on unreliable user agent checks, we detect the iOS sound
  285.     // requests by the Http headers they will always contain
  286.     private function detectIosRangeRequest()
  287.     {
  288.         if (array_key_exists('HTTP_RANGE'$_SERVER) &&
  289.             \BDC_StringHelper::HasValue($_SERVER['HTTP_RANGE'])) {
  291.             // Safari on MacOS and all browsers on <= iOS 10.x
  292.             if (array_key_exists('HTTP_X_PLAYBACK_SESSION_ID'$_SERVER) &&
  293.                 \BDC_StringHelper::HasValue($_SERVER['HTTP_X_PLAYBACK_SESSION_ID'])) {
  294.                 return true;
  295.             }
  297.             $userAgent array_key_exists('HTTP_USER_AGENT'$_SERVER) ? $_SERVER['HTTP_USER_AGENT'] : null;
  299.             // all browsers on iOS 11.x and later
  300.             if(\BDC_StringHelper::HasValue($userAgent)) {
  301.                 $userAgentLC = \BDC_StringHelper::Lowercase($userAgent);
  302.                 if (\BDC_StringHelper::Contains($userAgentLC"like mac os") || \BDC_StringHelper::Contains($userAgentLC"like macos")) {
  303.                     return true;
  304.                 }
  305.             }
  306.         }
  307.         return false;
  308.     }
  310.     private function getSoundByteRange()
  311.     {
  312.         // chunked requests must include the desired byte range
  313.         $rangeStr $_SERVER['HTTP_RANGE'];
  314.         if (!\BDC_StringHelper::HasValue($rangeStr)) {
  315.             return;
  316.         }
  318.         $matches = array();
  319.         preg_match_all('/bytes=([0-9]+)-([0-9]+)/'$rangeStr$matches);
  320.         return array(
  321.             'start' => (int) $matches[1][0],
  322.             'end'   => (int) $matches[2][0]
  323.         );
  324.     }
  326.     private function detectFakeRangeRequest()
  327.     {
  328.         $detected false;
  329.         if (array_key_exists('HTTP_RANGE'$_SERVER)) {
  330.             $rangeStr $_SERVER['HTTP_RANGE'];
  331.             if (\BDC_StringHelper::HasValue($rangeStr) &&
  332.                 preg_match('/bytes=0-$/'$rangeStr)) {
  333.                 $detected true;
  334.             }
  335.         }
  336.         return $detected;
  337.     }
  339.     /**
  340.      * The client requests the Captcha validation result (used for Ajax Captcha validation).
  341.      *
  342.      * @return json
  343.      */
  344.     public function getValidationResult()
  345.     {
  346.         if (is_null($this->captcha)) {
  347.             \BDC_HttpHelper::BadRequest('captcha');
  348.         }
  350.         // identifier of the particular Captcha object instance
  351.         $instanceId $this->getInstanceId();
  352.         if (is_null($instanceId)) {
  353.             \BDC_HttpHelper::BadRequest('instance');
  354.         }
  356.         $mimeType 'application/json';
  357.         header("Content-Type: {$mimeType}");
  359.         // code to validate
  360.         $userInput $this->getUserInput();
  362.         // JSON-encoded validation result
  363.         $result false;
  364.         if (isset($userInput) && (isset($instanceId))) {
  365.             $result $this->captcha->AjaxValidate($userInput$instanceId);
  366.             $this->captcha->CaptchaBase->Save();
  367.         }
  368.         $resultJson $this->getJsonValidationResult($result);
  370.         return $resultJson;
  371.     }
  373.     public function getScriptInclude()
  374.     {
  375.         // saved data for the specified Captcha object in the application
  376.         if (is_null($this->captcha)) {
  377.             \BDC_HttpHelper::BadRequest('captcha');
  378.         }
  380.         // identifier of the particular Captcha object instance
  381.         $instanceId $this->getInstanceId();
  382.         if (is_null($instanceId)) {
  383.             \BDC_HttpHelper::BadRequest('instance');
  384.         }
  386.         // response MIME type & headers
  387.         header('Content-Type: text/javascript');
  388.         header('X-Robots-Tag: noindex, nofollow, noarchive, nosnippet');
  390.         // 1. load BotDetect script
  391.         $resourcePath realpath(Path::getPublicDirPathInLibrary($this->container) . 'bdc-traditional-api-script-include.js');
  393.         if (!is_file($resourcePath)) {
  394.             throw new BadRequestHttpException(sprintf('File "%s" could not be found.'$resourcePath));
  395.         }
  397.         $script file_get_contents($resourcePath);
  399.         // 2. load BotDetect Init script
  400.         $script .= \BDC_CaptchaScriptsHelper::GetInitScriptMarkup($this->captcha$instanceId);
  402.         // add remote scripts if enabled
  403.         if ($this->captcha->RemoteScriptEnabled) {
  404.             $script .= "\r\n";
  405.             $script .= \BDC_CaptchaScriptsHelper::GetRemoteScript($this->captcha);
  406.         }
  408.         return $script;
  409.     }
  411.     /**
  412.      * @return string
  413.      */
  414.     private function getInstanceId()
  415.     {
  416.         $instanceId $this->getUrlParameter('t');
  417.         if (!\BDC_StringHelper::HasValue($instanceId) ||
  418.             !\BDC_CaptchaBase::IsValidInstanceId($instanceId)
  419.         ) {
  420.             return;
  421.         }
  422.         return $instanceId;
  423.     }
  425.     /**
  426.      * Extract the user input Captcha code string from the Ajax validation request.
  427.      *
  428.      * @return string
  429.      */
  430.     private function getUserInput()
  431.     {
  432.         // BotDetect built-in Ajax Captcha validation
  433.         $input $this->getUrlParameter('i');
  435.         if (is_null($input)) {
  436.             // jQuery validation support, the input key may be just about anything,
  437.             // so we have to loop through fields and take the first unrecognized one
  438.             $recognized = array('get''c''t''d');
  439.             foreach ($_GET as $key => $value) {
  440.                 if (!in_array($key$recognized)) {
  441.                     $input $value;
  442.                     break;
  443.                 }
  444.             }
  445.         }
  447.         return $input;
  448.     }
  450.     /**
  451.      * Encodes the Captcha validation result in a simple JSON wrapper.
  452.      *
  453.      * @return string
  454.      */
  455.     private function getJsonValidationResult($result)
  456.     {
  457.         $resultStr = ($result 'true''false');
  458.         return $resultStr;
  459.     }
  461.     /**
  462.      * @return bool
  463.      */
  464.     private function isGetResourceContentsRequest()
  465.     {
  466.         return array_key_exists('get'$_GET) && !array_key_exists('c'$_GET);
  467.     }
  469.     /**
  470.      * @param  string  $param
  471.      * @return string|null
  472.      */
  473.     private function getUrlParameter($param)
  474.     {
  475.         return filter_input(INPUT_GET$param);
  476.     }
  478.     public function getP()
  479.     {
  480.         if (is_null($this->captcha)) {
  481.             \BDC_HttpHelper::BadRequest('captcha');
  482.         }
  484.         // identifier of the particular Captcha object instance
  485.         $instanceId $this->getInstanceId();
  486.         if (is_null($instanceId)) {
  487.             \BDC_HttpHelper::BadRequest('instance');
  488.         }
  490.         // create new one
  491.         $p $this->captcha->GenPw($instanceId);
  492.         $this->captcha->SavePw($this->captcha);
  494.         // response data
  495.         $response "{\"sp\":\"{$p->GetSP()}\",\"hs\":\"{$p->GetHs()}\"}";
  497.         // response MIME type & headers
  498.         header('Content-Type: application/json');
  499.         header('X-Robots-Tag: noindex, nofollow, noarchive, nosnippet');
  500.         \BDC_HttpHelper::SmartDisallowCache();
  502.         return $response;
  503.     }
  504. }