src/EventSubscriber/BlockSvgUploadSubscriber.php line 28

Open in your IDE?
  1. <?php
  3. namespace App\EventSubscriber;
  5. use Symfony\Component\EventDispatcher\EventSubscriberInterface;
  6. use Symfony\Component\HttpFoundation\File\UploadedFile;
  7. use Symfony\Component\HttpKernel\Event\RequestEvent;
  8. use Symfony\Component\HttpKernel\KernelEvents;
  9. use Symfony\Component\HttpFoundation\Session\Session;
  10. use Symfony\Component\HttpFoundation\RedirectResponse;
  12. /**
  13.  * Bloque les nouveaux uploads SVG:
  14.  *  - Retire tout UploadedFile SVG de la requête avant le binding des formulaires
  15.  *  - Ajoute un flash d'information
  16.  *  - Préserve un fichier déjà existant (champ réédité sans nouveau fichier)
  17.  * Ne touche pas aux SVG historiques déjà stockés (non UploadedFile).
  18.  */
  19. class BlockSvgUploadSubscriber implements EventSubscriberInterface
  20. {
  22.     public static function getSubscribedEvents(): array
  23.     {
  24.         // Priorité faible pour laisser le routage se faire mais avant la validation du formulaire.
  25.         return [KernelEvents::REQUEST => ['onRequest'5]];
  26.     }
  28.     public function onRequest(RequestEvent $event): void
  29.     {
  30.         if (!$event->isMainRequest()) {
  31.             return;
  32.         }
  34.         $request $event->getRequest();
  35.         if (=== count($request->files)) {
  36.             return; // Rien à inspecter
  37.         }
  39.         $foundSvg false;
  40.         $original $request->files->all();
  42.         $cleanSvg = function (&$value) use (&$foundSvg, &$cleanSvg) {
  43.             if ($value instanceof UploadedFile) {
  44.                 if ($value->getMimeType() === 'image/svg+xml') {
  45.                     $foundSvg true;
  46.                     // On retire complètement le fichier (null) pour bloquer l'ajout.
  47.                     $value null;
  48.                 }
  49.             } elseif (is_array($value)) {
  50.                 foreach ($value as $k => $v) {
  51.                     $cleanSvg($value[$k]);
  52.                 }
  53.             }
  54.         };
  56.         foreach ($original as $k => $v) {
  57.             $cleanSvg($original[$k]);
  58.         }
  59.         foreach ($original as $k => $v) {
  60.             $request->files->set($k$v);
  61.         }
  63.         if ($foundSvg) {
  64.             $session $request->getSession();
  65.             if ($session instanceof Session) {
  66.                 $session->getFlashBag()->add(
  67.                     'warning',
  68.                     'Upload SVG bloqué (sécurité). Utilisez PNG ou JPEG.'
  69.                 );
  70.             }
  71.             // Annule le flush / traitement contrôleur: on renvoie l'utilisateur avant l'exécution du contrôleur
  72.             if ($request->isMethod('POST')) {
  73.                 $referer $request->headers->get('referer') ?: $request->getBaseUrl() ?: '/';
  74.                 $event->setResponse(new RedirectResponse($referer303));
  75.             }
  76.         }
  77.     }
  78. }