vendor/sentry/sentry/src/Integration/RequestIntegration.php line 117

Open in your IDE?
  1. <?php
  3. declare(strict_types=1);
  5. namespace Sentry\Integration;
  7. use Psr\Http\Message\ServerRequestInterface;
  8. use Psr\Http\Message\UploadedFileInterface;
  9. use Sentry\Event;
  10. use Sentry\Exception\JsonException;
  11. use Sentry\Options;
  12. use Sentry\SentrySdk;
  13. use Sentry\State\Scope;
  14. use Sentry\UserDataBag;
  15. use Sentry\Util\JSON;
  16. use Symfony\Component\OptionsResolver\Options as SymfonyOptions;
  17. use Symfony\Component\OptionsResolver\OptionsResolver;
  19. /**
  20.  * This integration collects information from the request and attaches them to
  21.  * the event.
  22.  *
  23.  * @author Stefano Arlandini <sarlandini@alice.it>
  24.  */
  25. final class RequestIntegration implements IntegrationInterface
  26. {
  27.     /**
  28.      * This constant represents the size limit in bytes beyond which the body
  29.      * of the request is not captured when the `max_request_body_size` option
  30.      * is set to `small`.
  31.      */
  32.     private const REQUEST_BODY_SMALL_MAX_CONTENT_LENGTH 10 ** 3;
  34.     /**
  35.      * This constant represents the size limit in bytes beyond which the body
  36.      * of the request is not captured when the `max_request_body_size` option
  37.      * is set to `medium`.
  38.      */
  39.     private const REQUEST_BODY_MEDIUM_MAX_CONTENT_LENGTH 10 ** 4;
  41.     /**
  42.      * This constant is a map of maximum allowed sizes for each value of the
  43.      * `max_request_body_size` option.
  44.      *
  45.      * @deprecated The 'none' option is deprecated since version 3.10, to be removed in 4.0
  46.      */
  47.     private const MAX_REQUEST_BODY_SIZE_OPTION_TO_MAX_LENGTH_MAP = [
  48.         'none' => 0,
  49.         'never' => 0,
  50.         'small' => self::REQUEST_BODY_SMALL_MAX_CONTENT_LENGTH,
  51.         'medium' => self::REQUEST_BODY_MEDIUM_MAX_CONTENT_LENGTH,
  52.         'always' => \PHP_INT_MAX,
  53.     ];
  55.     /**
  56.      * This constant defines the default list of headers that may contain
  57.      * sensitive data and that will be sanitized if sending PII is disabled.
  58.      */
  59.     private const DEFAULT_SENSITIVE_HEADERS = [
  60.         'Authorization',
  61.         'Cookie',
  62.         'Set-Cookie',
  63.         'X-Forwarded-For',
  64.         'X-Real-IP',
  65.     ];
  67.     /**
  68.      * @var RequestFetcherInterface PSR-7 request fetcher
  69.      */
  70.     private $requestFetcher;
  72.     /**
  73.      * @var array<string, mixed> The options
  74.      *
  75.      * @psalm-var array{
  76.      *     pii_sanitize_headers: string[]
  77.      * }
  78.      */
  79.     private $options;
  81.     /**
  82.      * Constructor.
  83.      *
  84.      * @param RequestFetcherInterface|null $requestFetcher PSR-7 request fetcher
  85.      * @param array<string, mixed>         $options        The options
  86.      *
  87.      * @psalm-param array{
  88.      *     pii_sanitize_headers?: string[]
  89.      * } $options
  90.      */
  91.     public function __construct(?RequestFetcherInterface $requestFetcher null, array $options = [])
  92.     {
  93.         $resolver = new OptionsResolver();
  95.         $this->configureOptions($resolver);
  97.         $this->requestFetcher $requestFetcher ?? new RequestFetcher();
  98.         $this->options $resolver->resolve($options);
  99.     }
  101.     /**
  102.      * {@inheritdoc}
  103.      */
  104.     public function setupOnce(): void
  105.     {
  106.         Scope::addGlobalEventProcessor(function (Event $event): Event {
  107.             $currentHub SentrySdk::getCurrentHub();
  108.             $integration $currentHub->getIntegration(self::class);
  109.             $client $currentHub->getClient();
  111.             // The client bound to the current hub, if any, could not have this
  112.             // integration enabled. If this is the case, bail out
  113.             if (null === $integration || null === $client) {
  114.                 return $event;
  115.             }
  117.             $this->processEvent($event$client->getOptions());
  119.             return $event;
  120.         });
  121.     }
  123.     private function processEvent(Event $eventOptions $options): void
  124.     {
  125.         $request $this->requestFetcher->fetchRequest();
  127.         if (null === $request) {
  128.             return;
  129.         }
  131.         $requestData = [
  132.             'url' => (string) $request->getUri(),
  133.             'method' => $request->getMethod(),
  134.         ];
  136.         if ($request->getUri()->getQuery()) {
  137.             $requestData['query_string'] = $request->getUri()->getQuery();
  138.         }
  140.         if ($options->shouldSendDefaultPii()) {
  141.             $serverParams $request->getServerParams();
  143.             if (isset($serverParams['REMOTE_ADDR'])) {
  144.                 $user $event->getUser();
  145.                 $requestData['env']['REMOTE_ADDR'] = $serverParams['REMOTE_ADDR'];
  147.                 if (null === $user) {
  148.                     $user UserDataBag::createFromUserIpAddress($serverParams['REMOTE_ADDR']);
  149.                 } elseif (null === $user->getIpAddress()) {
  150.                     $user->setIpAddress($serverParams['REMOTE_ADDR']);
  151.                 }
  153.                 $event->setUser($user);
  154.             }
  156.             $requestData['cookies'] = $request->getCookieParams();
  157.             $requestData['headers'] = $request->getHeaders();
  158.         } else {
  159.             $requestData['headers'] = $this->sanitizeHeaders($request->getHeaders());
  160.         }
  162.         $requestBody $this->captureRequestBody($options$request);
  164.         if (!empty($requestBody)) {
  165.             $requestData['data'] = $requestBody;
  166.         }
  168.         $event->setRequest($requestData);
  169.     }
  171.     /**
  172.      * Removes headers containing potential PII.
  173.      *
  174.      * @param array<array-key, string[]> $headers Array containing request headers
  175.      *
  176.      * @return array<string, string[]>
  177.      */
  178.     private function sanitizeHeaders(array $headers): array
  179.     {
  180.         foreach ($headers as $name => $values) {
  181.             // Cast the header name into a string, to avoid errors on numeric headers
  182.             $name = (string) $name;
  184.             if (!\in_array(strtolower($name), $this->options['pii_sanitize_headers'], true)) {
  185.                 continue;
  186.             }
  188.             foreach ($values as $headerLine => $headerValue) {
  189.                 $headers[$name][$headerLine] = '[Filtered]';
  190.             }
  191.         }
  193.         return $headers;
  194.     }
  196.     /**
  197.      * Gets the decoded body of the request, if available. If the Content-Type
  198.      * header contains "application/json" then the content is decoded and if
  199.      * the parsing fails then the raw data is returned. If there are submitted
  200.      * fields or files, all of their information are parsed and returned.
  201.      *
  202.      * @param Options                $options The options of the client
  203.      * @param ServerRequestInterface $request The server request
  204.      *
  205.      * @return mixed
  206.      */
  207.     private function captureRequestBody(Options $optionsServerRequestInterface $request)
  208.     {
  209.         $maxRequestBodySize $options->getMaxRequestBodySize();
  210.         $requestBodySize = (int) $request->getHeaderLine('Content-Length');
  212.         if (!$this->isRequestBodySizeWithinReadBounds($requestBodySize$maxRequestBodySize)) {
  213.             return null;
  214.         }
  216.         $requestData $request->getParsedBody();
  217.         $requestData array_replace(
  218.             $this->parseUploadedFiles($request->getUploadedFiles()),
  219.             \is_array($requestData) ? $requestData : []
  220.         );
  222.         if (!empty($requestData)) {
  223.             return $requestData;
  224.         }
  226.         $requestBody '';
  227.         $maxLength self::MAX_REQUEST_BODY_SIZE_OPTION_TO_MAX_LENGTH_MAP[$maxRequestBodySize];
  229.         if ($maxLength) {
  230.             $stream $request->getBody();
  231.             while ($maxLength && !$stream->eof()) {
  232.                 if ('' === $buffer $stream->read(min($maxLengthself::REQUEST_BODY_MEDIUM_MAX_CONTENT_LENGTH))) {
  233.                     break;
  234.                 }
  235.                 $requestBody .= $buffer;
  236.                 $maxLength -= \strlen($buffer);
  237.             }
  238.         }
  240.         if ('application/json' === $request->getHeaderLine('Content-Type')) {
  241.             try {
  242.                 return JSON::decode($requestBody);
  243.             } catch (JsonException $exception) {
  244.                 // Fallback to returning the raw data from the request body
  245.             }
  246.         }
  248.         return $requestBody;
  249.     }
  251.     /**
  252.      * Create an array with the same structure as $uploadedFiles, but replacing
  253.      * each UploadedFileInterface with an array of info.
  254.      *
  255.      * @param array<string, mixed> $uploadedFiles The uploaded files info from a PSR-7 server request
  256.      *
  257.      * @return array<string, mixed>
  258.      */
  259.     private function parseUploadedFiles(array $uploadedFiles): array
  260.     {
  261.         $result = [];
  263.         foreach ($uploadedFiles as $key => $item) {
  264.             if ($item instanceof UploadedFileInterface) {
  265.                 $result[$key] = [
  266.                     'client_filename' => $item->getClientFilename(),
  267.                     'client_media_type' => $item->getClientMediaType(),
  268.                     'size' => $item->getSize(),
  269.                 ];
  270.             } elseif (\is_array($item)) {
  271.                 $result[$key] = $this->parseUploadedFiles($item);
  272.             } else {
  273.                 throw new \UnexpectedValueException(sprintf('Expected either an object implementing the "%s" interface or an array. Got: "%s".'UploadedFileInterface::class, \is_object($item) ? \get_class($item) : \gettype($item)));
  274.             }
  275.         }
  277.         return $result;
  278.     }
  280.     private function isRequestBodySizeWithinReadBounds(int $requestBodySizestring $maxRequestBodySize): bool
  281.     {
  282.         if ($requestBodySize <= 0) {
  283.             return false;
  284.         }
  286.         if ('none' === $maxRequestBodySize || 'never' === $maxRequestBodySize) {
  287.             return false;
  288.         }
  290.         if ('small' === $maxRequestBodySize && $requestBodySize self::REQUEST_BODY_SMALL_MAX_CONTENT_LENGTH) {
  291.             return false;
  292.         }
  294.         if ('medium' === $maxRequestBodySize && $requestBodySize self::REQUEST_BODY_MEDIUM_MAX_CONTENT_LENGTH) {
  295.             return false;
  296.         }
  298.         return true;
  299.     }
  301.     /**
  302.      * Configures the options of the client.
  303.      *
  304.      * @param OptionsResolver $resolver The resolver for the options
  305.      */
  306.     private function configureOptions(OptionsResolver $resolver): void
  307.     {
  308.         $resolver->setDefault('pii_sanitize_headers'self::DEFAULT_SENSITIVE_HEADERS);
  309.         $resolver->setAllowedTypes('pii_sanitize_headers''string[]');
  310.         $resolver->setNormalizer('pii_sanitize_headers', static function (SymfonyOptions $options, array $value): array {
  311.             return array_map('strtolower'$value);
  312.         });
  313.     }
  314. }