Symfony CSRF和Ajax

你应该试试这个片段。Symfony表单应生成特殊的_csrf_令牌，该令牌应随post请求一起发送。如果没有此值，将引发安全警报。

当然#塔吉特窗体应该替换为窗体id， /endpoint目标ajax url

$('#targetForm').bind('submit', function(e) {

    e.preventDefault();
    var data = $(this).serialize();

    $.post('/endpoint', data, function(data) {
        // some logic here
    });

});

我间歇性地有这个问题。原来这不是因为我的ajax，而是因为Silex提供了一个弃用的DefaultCsrfProvider，它使用会话ID本身作为令牌的一部分，为了安全起见，我随机更改ID。相反，显式地告诉它使用新的CsrfTokenManager会修复它，因为该管理器会生成一个令牌并将其存储在会话中，这样会话ID就可以更改，而不会影响令牌的有效性。

/** Use a CSRF provider that does not depend on the session ID being constant. We change the session ID randomly */
$app['form.csrf_provider'] = $app->share(function ($app) {
    $storage = new Symfony\Component\Security\Csrf\TokenStorage\SessionTokenStorage($app['session']);
    return new Symfony\Component\Security\Csrf\CsrfTokenManager(null, $storage);
});

在Symfony2中，默认情况下，CSRF令牌基于会话。如果您想生成它，您只需获得此服务和调用生成方法：

//Symfony\Component\Form\Extension\Csrf\CsrfProvider\SessionCsrfProvider by default
$csrf = $this->get('form.csrf_provider');
//Intention should be empty string, if you did not define it in parameters
$token = $csrf->generateCsrfToken($intention); 

return new Response($token);

这个问题可能对你有用