vendor/sentry/sentry/src/Integration/RequestIntegration.php line 126

Open in your IDE?
  1. <?php
  3. declare(strict_types=1);
  5. namespace Sentry\Integration;
  7. use GuzzleHttp\Psr7\Utils;
  8. use Psr\Http\Message\ServerRequestInterface;
  9. use Psr\Http\Message\UploadedFileInterface;
  10. use Sentry\Event;
  11. use Sentry\Exception\JsonException;
  12. use Sentry\Options;
  13. use Sentry\SentrySdk;
  14. use Sentry\State\Scope;
  15. use Sentry\UserDataBag;
  16. use Sentry\Util\JSON;
  17. use Symfony\Component\OptionsResolver\Options as SymfonyOptions;
  18. use Symfony\Component\OptionsResolver\OptionsResolver;
  20. /**
  21.  * This integration collects information from the request and attaches them to
  22.  * the event.
  23.  *
  24.  * @author Stefano Arlandini <sarlandini@alice.it>
  25.  */
  26. final class RequestIntegration implements IntegrationInterface
  27. {
  28.     /**
  29.      * This constant represents the size limit in bytes beyond which the body
  30.      * of the request is not captured when the `max_request_body_size` option
  31.      * is set to `small`.
  32.      */
  33.     private const REQUEST_BODY_SMALL_MAX_CONTENT_LENGTH 10 ** 3;
  35.     /**
  36.      * This constant represents the size limit in bytes beyond which the body
  37.      * of the request is not captured when the `max_request_body_size` option
  38.      * is set to `medium`.
  39.      */
  40.     private const REQUEST_BODY_MEDIUM_MAX_CONTENT_LENGTH 10 ** 4;
  42.     /**
  43.      * This constant is a map of maximum allowed sizes for each value of the
  44.      * `max_request_body_size` option.
  45.      *
  46.      * @deprecated The 'none' option is deprecated since version 3.10, to be removed in 4.0
  47.      */
  48.     private const MAX_REQUEST_BODY_SIZE_OPTION_TO_MAX_LENGTH_MAP = [
  49.         'none' => 0,
  50.         'never' => 0,
  51.         'small' => self::REQUEST_BODY_SMALL_MAX_CONTENT_LENGTH,
  52.         'medium' => self::REQUEST_BODY_MEDIUM_MAX_CONTENT_LENGTH,
  53.         'always' => -1,
  54.     ];
  56.     /**
  57.      * This constant defines the default list of headers that may contain
  58.      * sensitive data and that will be sanitized if sending PII is disabled.
  59.      */
  60.     private const DEFAULT_SENSITIVE_HEADERS = [
  61.         'Authorization',
  62.         'Cookie',
  63.         'Set-Cookie',
  64.         'X-Forwarded-For',
  65.         'X-Real-IP',
  66.     ];
  68.     /**
  69.      * @var RequestFetcherInterface PSR-7 request fetcher
  70.      */
  71.     private $requestFetcher;
  73.     /**
  74.      * @var array<string, mixed> The options
  75.      *
  76.      * @psalm-var array{
  77.      *     pii_sanitize_headers: string[]
  78.      * }
  79.      */
  80.     private $options;
  82.     /**
  83.      * Constructor.
  84.      *
  85.      * @param RequestFetcherInterface|null $requestFetcher PSR-7 request fetcher
  86.      * @param array<string, mixed>         $options        The options
  87.      *
  88.      * @psalm-param array{
  89.      *     pii_sanitize_headers?: string[]
  90.      * } $options
  91.      */
  92.     public function __construct(?RequestFetcherInterface $requestFetcher null, array $options = [])
  93.     {
  94.         $resolver = new OptionsResolver();
  96.         $this->configureOptions($resolver);
  98.         $this->requestFetcher $requestFetcher ?? new RequestFetcher();
  99.         $this->options $resolver->resolve($options);
  100.     }
  102.     /**
  103.      * {@inheritdoc}
  104.      */
  105.     public function setupOnce(): void
  106.     {
  107.         Scope::addGlobalEventProcessor(function (Event $event): Event {
  108.             $currentHub SentrySdk::getCurrentHub();
  109.             $integration $currentHub->getIntegration(self::class);
  110.             $client $currentHub->getClient();
  112.             // The client bound to the current hub, if any, could not have this
  113.             // integration enabled. If this is the case, bail out
  114.             if (null === $integration || null === $client) {
  115.                 return $event;
  116.             }
  118.             $this->processEvent($event$client->getOptions());
  120.             return $event;
  121.         });
  122.     }
  124.     private function processEvent(Event $eventOptions $options): void
  125.     {
  126.         $request $this->requestFetcher->fetchRequest();
  128.         if (null === $request) {
  129.             return;
  130.         }
  132.         $requestData = [
  133.             'url' => (string) $request->getUri(),
  134.             'method' => $request->getMethod(),
  135.         ];
  137.         if ($request->getUri()->getQuery()) {
  138.             $requestData['query_string'] = $request->getUri()->getQuery();
  139.         }
  141.         if ($options->shouldSendDefaultPii()) {
  142.             $serverParams $request->getServerParams();
  144.             if (isset($serverParams['REMOTE_ADDR'])) {
  145.                 $user $event->getUser();
  146.                 $requestData['env']['REMOTE_ADDR'] = $serverParams['REMOTE_ADDR'];
  148.                 if (null === $user) {
  149.                     $user UserDataBag::createFromUserIpAddress($serverParams['REMOTE_ADDR']);
  150.                 } elseif (null === $user->getIpAddress()) {
  151.                     $user->setIpAddress($serverParams['REMOTE_ADDR']);
  152.                 }
  154.                 $event->setUser($user);
  155.             }
  157.             $requestData['cookies'] = $request->getCookieParams();
  158.             $requestData['headers'] = $request->getHeaders();
  159.         } else {
  160.             $requestData['headers'] = $this->sanitizeHeaders($request->getHeaders());
  161.         }
  163.         $requestBody $this->captureRequestBody($options$request);
  165.         if (!empty($requestBody)) {
  166.             $requestData['data'] = $requestBody;
  167.         }
  169.         $event->setRequest($requestData);
  170.     }
  172.     /**
  173.      * Removes headers containing potential PII.
  174.      *
  175.      * @param array<array-key, string[]> $headers Array containing request headers
  176.      *
  177.      * @return array<string, string[]>
  178.      */
  179.     private function sanitizeHeaders(array $headers): array
  180.     {
  181.         foreach ($headers as $name => $values) {
  182.             // Cast the header name into a string, to avoid errors on numeric headers
  183.             $name = (string) $name;
  185.             if (!\in_array(strtolower($name), $this->options['pii_sanitize_headers'], true)) {
  186.                 continue;
  187.             }
  189.             foreach ($values as $headerLine => $headerValue) {
  190.                 $headers[$name][$headerLine] = '[Filtered]';
  191.             }
  192.         }
  194.         return $headers;
  195.     }
  197.     /**
  198.      * Gets the decoded body of the request, if available. If the Content-Type
  199.      * header contains "application/json" then the content is decoded and if
  200.      * the parsing fails then the raw data is returned. If there are submitted
  201.      * fields or files, all of their information are parsed and returned.
  202.      *
  203.      * @param Options                $options The options of the client
  204.      * @param ServerRequestInterface $request The server request
  205.      *
  206.      * @return mixed
  207.      */
  208.     private function captureRequestBody(Options $optionsServerRequestInterface $request)
  209.     {
  210.         $maxRequestBodySize $options->getMaxRequestBodySize();
  211.         $requestBodySize = (int) $request->getHeaderLine('Content-Length');
  213.         if (!$this->isRequestBodySizeWithinReadBounds($requestBodySize$maxRequestBodySize)) {
  214.             return null;
  215.         }
  217.         $requestData $request->getParsedBody();
  218.         $requestData array_merge(
  219.             $this->parseUploadedFiles($request->getUploadedFiles()),
  220.             \is_array($requestData) ? $requestData : []
  221.         );
  223.         if (!empty($requestData)) {
  224.             return $requestData;
  225.         }
  227.         $requestBody Utils::copyToString($request->getBody(), self::MAX_REQUEST_BODY_SIZE_OPTION_TO_MAX_LENGTH_MAP[$maxRequestBodySize]);
  229.         if ('application/json' === $request->getHeaderLine('Content-Type')) {
  230.             try {
  231.                 return JSON::decode($requestBody);
  232.             } catch (JsonException $exception) {
  233.                 // Fallback to returning the raw data from the request body
  234.             }
  235.         }
  237.         return $requestBody;
  238.     }
  240.     /**
  241.      * Create an array with the same structure as $uploadedFiles, but replacing
  242.      * each UploadedFileInterface with an array of info.
  243.      *
  244.      * @param array<string, mixed> $uploadedFiles The uploaded files info from a PSR-7 server request
  245.      *
  246.      * @return array<string, mixed>
  247.      */
  248.     private function parseUploadedFiles(array $uploadedFiles): array
  249.     {
  250.         $result = [];
  252.         foreach ($uploadedFiles as $key => $item) {
  253.             if ($item instanceof UploadedFileInterface) {
  254.                 $result[$key] = [
  255.                     'client_filename' => $item->getClientFilename(),
  256.                     'client_media_type' => $item->getClientMediaType(),
  257.                     'size' => $item->getSize(),
  258.                 ];
  259.             } elseif (\is_array($item)) {
  260.                 $result[$key] = $this->parseUploadedFiles($item);
  261.             } else {
  262.                 throw new \UnexpectedValueException(sprintf('Expected either an object implementing the "%s" interface or an array. Got: "%s".'UploadedFileInterface::class, \is_object($item) ? \get_class($item) : \gettype($item)));
  263.             }
  264.         }
  266.         return $result;
  267.     }
  269.     private function isRequestBodySizeWithinReadBounds(int $requestBodySizestring $maxRequestBodySize): bool
  270.     {
  271.         if ($requestBodySize <= 0) {
  272.             return false;
  273.         }
  275.         if ('none' === $maxRequestBodySize || 'never' === $maxRequestBodySize) {
  276.             return false;
  277.         }
  279.         if ('small' === $maxRequestBodySize && $requestBodySize self::REQUEST_BODY_SMALL_MAX_CONTENT_LENGTH) {
  280.             return false;
  281.         }
  283.         if ('medium' === $maxRequestBodySize && $requestBodySize self::REQUEST_BODY_MEDIUM_MAX_CONTENT_LENGTH) {
  284.             return false;
  285.         }
  287.         return true;
  288.     }
  290.     /**
  291.      * Configures the options of the client.
  292.      *
  293.      * @param OptionsResolver $resolver The resolver for the options
  294.      */
  295.     private function configureOptions(OptionsResolver $resolver): void
  296.     {
  297.         $resolver->setDefault('pii_sanitize_headers'self::DEFAULT_SENSITIVE_HEADERS);
  298.         $resolver->setAllowedTypes('pii_sanitize_headers''string[]');
  299.         $resolver->setNormalizer('pii_sanitize_headers', static function (SymfonyOptions $options, array $value): array {
  300.             return array_map('strtolower'$value);
  301.         });
  302.     }
  303. }