Как правильно установить HttpOnly куки для сессий в symfony4?

Question

[Александр Афанасьев]

Здравствуйте, в symfony4 в framework.yaml есть такая настройка:

session:
        handler_id: ~
        cookie_secure: auto
        cookie_samesite: lax
        cookie_httponly: true # <--- вот эта

В качестве эксперимента в index.php стартую сессию:

$session = new Session();
$session->start();

Открываю страницу в хроме, смотрю куки через document.cookie, PHPSESSID видно.
Так и должно быть? что я делаю не правильно? Или это баг симфони? Или устаревший файл настроек, который более не используется?

И второй вопрос:
В контроллере можно получить экземпляр сессии следующими путями:
1) $session = $request->getSession();
2) через SessionInterface $session
3) $session = new Session();
Интересует, можно ли делать третьим способом, особенно в классах, а не в контролерах, что бы не передавать в каждый класс параметр $session, использующий к примеру логин пользователя.
Третий способ работает, но смущает что в документации, в примерах сессию получают только первыми двумя способами.

Comments

[Александр Афанасьев]

Открыл DevTools:

Response Headers:
    Set-Cookie: PHPSESSID=qevq2q0jqqq8gqvlqqqifjqq9juqhvqq; path=/

Попробовал добавить перед стартом сессии:

session_set_cookie_params(24*60*60, '/', null, false, true);

Получилось вот так:

Response Headers:
    Set-Cookie: PHPSESSID=is340c7fj00sah4qhp2s6m02dip5en3o; expires=Thu, 31-Jan-2019 06:39:13 GMT; Max-Age=86400; path=/; HttpOnly

Эта кука из js - недоступна.

Получается что симфони при создании сессии вообще игнорирует файл framework.yaml?

Answer 1

[Александр]

1) cookie_httponly по умолчанию стоит true. Не нужно ее прописывать в конфиг.
2) У меня на версии 4.2 все работает. PHPSESSID создается с параметром http и не доступна через js. Так что проблема локальная, и помочь вам вретли кто-то сможет.

Comments

[Александр Афанасьев]

Понятно.
Ответ прост - не правильно стартовал сессию. Как только добавил в шаблон {{ csrf_token('test') }} получил ошибку, csrf_token - сам запускает сессию, уже с параметрами из файла конфига.

[Александр Афанасьев]

Александр, отметил решением, а про второй вопрос то я и забыл... ну ладно)

[Александр]

Александр Афанасьев, по поводу 2-ого вопроса.
Думаю вы знаете про паттерн Dependency injection?

Так вот, согласно ему, и то что symfony использует его, верным будет только 2-ой вариант:
через SessionInterface $session
Если посмотреть код метода getSession, то можно увидеть следующую строку:

if (null === $session) {
    @trigger_error(sprintf('Calling "%s()" when no session has been set is deprecated since Symfony 4.1 and will throw an exception in 5.0. Use "hasSession()" instead.', __METHOD__), E_USER_DEPRECATED);
    // throw new \BadMethodCallException('Session has not been set');
}

Вполне рабочий метод, но его нужно всегда обрамлять проверкой hasSession.

3-ий вариант нарушает DI, и скорее всего будет ломать код, т.к. создаются несколько экземпляров объекта, которые не будут доступны в другой части кода.