src/EventSubscriber/XSSProtector.php line 36

Open in your IDE?
  1. <?php
  3. namespace App\EventSubscriber;
  5. use App\Twig\NonceGenerator;
  6. use Symfony\Component\EventDispatcher\EventSubscriberInterface;
  7. use Symfony\Component\HttpKernel\Event\ResponseEvent;
  8. use Symfony\Component\HttpKernel\KernelEvents;
  10. class XSSProtector implements EventSubscriberInterface
  11. {
  13.     /** @var NonceGenerator $nonceGenerator */
  14.     private $nonceGenerator;
  16.     public function __construct(NonceGenerator $nonceGenerator)
  17.     {
  18.         // inject the nonce generator service we created in previous steps
  19.         $this->nonceGenerator $nonceGenerator;
  20.     }
  22.     /**
  23.      * @return array
  24.      */
  25.     public static function getSubscribedEvents()
  26.     {
  27.         // listen to the kernel.response event
  28.         return [KernelEvents::RESPONSE => 'addCSPHeaderToResponse'];
  29.     }
  31.     /**
  32.      * Adds the Content Security Policy header.
  33.      *
  34.      * @param ResponseEvent $event
  35.      */
  36.     public function addCSPHeaderToResponse(ResponseEvent $event)
  37.     {
  38.         // get the Response object from the event
  39.         $response $event->getResponse();
  41.         // create a CSP rule, using the nonce generator service
  42.         $nonce $this->nonceGenerator->getNonce();
  43.         $cspHeader "script-src 'nonce-" $nonce "' 'unsafe-eval' 'strict-dynamic' https: http:;";
  45.         // set CPS header on the response object
  46.         $response->headers->set("Content-Security-Policy"$cspHeader);
  47.         $response->headers->set("X-Content-Type-Options"'nosniff');
  48.     }
  49. }