L’article explique qu’une application qui récupère des URLs fournies par des utilisateurs (pour des aperçus de liens, webhooks ou flux RSS) peut être vulnérable à des attaques de type SSRF, où un attaquant force le serveur à accéder à des ressources internes comme 127.0.0.1 ou l’endpoint de métadonnées AWS. Pour appliquer facilement le principe de programmation défensive avec Symfony, il suffit d’envelopper le client HTTP existant avec un décorateur comme NoPrivateNetworkHttpClient, qui bloque automatiquement les requêtes vers les réseaux privés sans modifier le reste du code. Cette approche illustre comment Symfony HttpClient permet d’ajouter des protections de sécurité simples et réutilisables grâce à son architecture basée sur des décorateurs.
Lorsque vous avez plusieurs requêtes HTTP à lancer dans une application Symfony, vous pouvez le faire de manière séquentielle (donc lent) ou les paralléliser si vos appels sont indépendants. C'est ce que permet HttpClient via la méthode stream.
Une belle déclaration d'amour au client HTTP de Symfony :-) Plus sérieusement, l'auteur montre comment s'en servir et quelques cas très intéressants comme des requêtes asynchrones
Tout est dans le titre
Tout est dans le titre
Au menu :
- TDD avec Panther
- tout pour se préparer à PHP 7.4
- Symfony HTTPClient vs Guzzle vs HTTPlug
- Symfony Checker