vendor/symfony/http-foundation/Request.php line 737

Open in your IDE?
  1. <?php
  3. /*
  4.  * This file is part of the Symfony package.
  5.  *
  6.  * (c) Fabien Potencier <fabien@symfony.com>
  7.  *
  8.  * For the full copyright and license information, please view the LICENSE
  9.  * file that was distributed with this source code.
  10.  */
  12. namespace Symfony\Component\HttpFoundation;
  14. use Symfony\Component\HttpFoundation\Exception\BadRequestException;
  15. use Symfony\Component\HttpFoundation\Exception\ConflictingHeadersException;
  16. use Symfony\Component\HttpFoundation\Exception\JsonException;
  17. use Symfony\Component\HttpFoundation\Exception\SessionNotFoundException;
  18. use Symfony\Component\HttpFoundation\Exception\SuspiciousOperationException;
  19. use Symfony\Component\HttpFoundation\Session\SessionInterface;
  21. // Help opcache.preload discover always-needed symbols
  22. class_exists(AcceptHeader::class);
  23. class_exists(FileBag::class);
  24. class_exists(HeaderBag::class);
  25. class_exists(HeaderUtils::class);
  26. class_exists(InputBag::class);
  27. class_exists(ParameterBag::class);
  28. class_exists(ServerBag::class);
  30. /**
  31.  * Request represents an HTTP request.
  32.  *
  33.  * The methods dealing with URL accept / return a raw path (% encoded):
  34.  *   * getBasePath
  35.  *   * getBaseUrl
  36.  *   * getPathInfo
  37.  *   * getRequestUri
  38.  *   * getUri
  39.  *   * getUriForPath
  40.  *
  41.  * @author Fabien Potencier <fabien@symfony.com>
  42.  */
  43. class Request
  44. {
  45.     public const HEADER_FORWARDED 0b000001// When using RFC 7239
  46.     public const HEADER_X_FORWARDED_FOR 0b000010;
  47.     public const HEADER_X_FORWARDED_HOST 0b000100;
  48.     public const HEADER_X_FORWARDED_PROTO 0b001000;
  49.     public const HEADER_X_FORWARDED_PORT 0b010000;
  50.     public const HEADER_X_FORWARDED_PREFIX 0b100000;
  52.     public const HEADER_X_FORWARDED_AWS_ELB 0b0011010// AWS ELB doesn't send X-Forwarded-Host
  53.     public const HEADER_X_FORWARDED_TRAEFIK 0b0111110// All "X-Forwarded-*" headers sent by Traefik reverse proxy
  55.     public const METHOD_HEAD 'HEAD';
  56.     public const METHOD_GET 'GET';
  57.     public const METHOD_POST 'POST';
  58.     public const METHOD_PUT 'PUT';
  59.     public const METHOD_PATCH 'PATCH';
  60.     public const METHOD_DELETE 'DELETE';
  61.     public const METHOD_PURGE 'PURGE';
  62.     public const METHOD_OPTIONS 'OPTIONS';
  63.     public const METHOD_TRACE 'TRACE';
  64.     public const METHOD_CONNECT 'CONNECT';
  66.     /**
  67.      * @var string[]
  68.      */
  69.     protected static $trustedProxies = [];
  71.     /**
  72.      * @var string[]
  73.      */
  74.     protected static $trustedHostPatterns = [];
  76.     /**
  77.      * @var string[]
  78.      */
  79.     protected static $trustedHosts = [];
  81.     protected static $httpMethodParameterOverride false;
  83.     /**
  84.      * Custom parameters.
  85.      *
  86.      * @var ParameterBag
  87.      */
  88.     public $attributes;
  90.     /**
  91.      * Request body parameters ($_POST).
  92.      *
  93.      * @see getPayload() for portability between content types
  94.      *
  95.      * @var InputBag
  96.      */
  97.     public $request;
  99.     /**
  100.      * Query string parameters ($_GET).
  101.      *
  102.      * @var InputBag
  103.      */
  104.     public $query;
  106.     /**
  107.      * Server and execution environment parameters ($_SERVER).
  108.      *
  109.      * @var ServerBag
  110.      */
  111.     public $server;
  113.     /**
  114.      * Uploaded files ($_FILES).
  115.      *
  116.      * @var FileBag
  117.      */
  118.     public $files;
  120.     /**
  121.      * Cookies ($_COOKIE).
  122.      *
  123.      * @var InputBag
  124.      */
  125.     public $cookies;
  127.     /**
  128.      * Headers (taken from the $_SERVER).
  129.      *
  130.      * @var HeaderBag
  131.      */
  132.     public $headers;
  134.     /**
  135.      * @var string|resource|false|null
  136.      */
  137.     protected $content;
  139.     /**
  140.      * @var string[]|null
  141.      */
  142.     protected $languages;
  144.     /**
  145.      * @var string[]|null
  146.      */
  147.     protected $charsets;
  149.     /**
  150.      * @var string[]|null
  151.      */
  152.     protected $encodings;
  154.     /**
  155.      * @var string[]|null
  156.      */
  157.     protected $acceptableContentTypes;
  159.     /**
  160.      * @var string|null
  161.      */
  162.     protected $pathInfo;
  164.     /**
  165.      * @var string|null
  166.      */
  167.     protected $requestUri;
  169.     /**
  170.      * @var string|null
  171.      */
  172.     protected $baseUrl;
  174.     /**
  175.      * @var string|null
  176.      */
  177.     protected $basePath;
  179.     /**
  180.      * @var string|null
  181.      */
  182.     protected $method;
  184.     /**
  185.      * @var string|null
  186.      */
  187.     protected $format;
  189.     /**
  190.      * @var SessionInterface|callable():SessionInterface|null
  191.      */
  192.     protected $session;
  194.     /**
  195.      * @var string|null
  196.      */
  197.     protected $locale;
  199.     /**
  200.      * @var string
  201.      */
  202.     protected $defaultLocale 'en';
  204.     /**
  205.      * @var array<string, string[]>|null
  206.      */
  207.     protected static $formats;
  209.     protected static $requestFactory;
  211.     private ?string $preferredFormat null;
  212.     private bool $isHostValid true;
  213.     private bool $isForwardedValid true;
  214.     private bool $isSafeContentPreferred;
  216.     private array $trustedValuesCache = [];
  218.     private static int $trustedHeaderSet = -1;
  220.     private const FORWARDED_PARAMS = [
  221.         self::HEADER_X_FORWARDED_FOR => 'for',
  222.         self::HEADER_X_FORWARDED_HOST => 'host',
  223.         self::HEADER_X_FORWARDED_PROTO => 'proto',
  224.         self::HEADER_X_FORWARDED_PORT => 'host',
  225.     ];
  227.     /**
  228.      * Names for headers that can be trusted when
  229.      * using trusted proxies.
  230.      *
  231.      * The FORWARDED header is the standard as of rfc7239.
  232.      *
  233.      * The other headers are non-standard, but widely used
  234.      * by popular reverse proxies (like Apache mod_proxy or Amazon EC2).
  235.      */
  236.     private const TRUSTED_HEADERS = [
  237.         self::HEADER_FORWARDED => 'FORWARDED',
  238.         self::HEADER_X_FORWARDED_FOR => 'X_FORWARDED_FOR',
  239.         self::HEADER_X_FORWARDED_HOST => 'X_FORWARDED_HOST',
  240.         self::HEADER_X_FORWARDED_PROTO => 'X_FORWARDED_PROTO',
  241.         self::HEADER_X_FORWARDED_PORT => 'X_FORWARDED_PORT',
  242.         self::HEADER_X_FORWARDED_PREFIX => 'X_FORWARDED_PREFIX',
  243.     ];
  245.     /** @var bool */
  246.     private $isIisRewrite false;
  248.     /**
  249.      * @param array                $query      The GET parameters
  250.      * @param array                $request    The POST parameters
  251.      * @param array                $attributes The request attributes (parameters parsed from the PATH_INFO, ...)
  252.      * @param array                $cookies    The COOKIE parameters
  253.      * @param array                $files      The FILES parameters
  254.      * @param array                $server     The SERVER parameters
  255.      * @param string|resource|null $content    The raw body data
  256.      */
  257.     public function __construct(array $query = [], array $request = [], array $attributes = [], array $cookies = [], array $files = [], array $server = [], $content null)
  258.     {
  259.         $this->initialize($query$request$attributes$cookies$files$server$content);
  260.     }
  262.     /**
  263.      * Sets the parameters for this request.
  264.      *
  265.      * This method also re-initializes all properties.
  266.      *
  267.      * @param array                $query      The GET parameters
  268.      * @param array                $request    The POST parameters
  269.      * @param array                $attributes The request attributes (parameters parsed from the PATH_INFO, ...)
  270.      * @param array                $cookies    The COOKIE parameters
  271.      * @param array                $files      The FILES parameters
  272.      * @param array                $server     The SERVER parameters
  273.      * @param string|resource|null $content    The raw body data
  274.      *
  275.      * @return void
  276.      */
  277.     public function initialize(array $query = [], array $request = [], array $attributes = [], array $cookies = [], array $files = [], array $server = [], $content null)
  278.     {
  279.         $this->request = new InputBag($request);
  280.         $this->query = new InputBag($query);
  281.         $this->attributes = new ParameterBag($attributes);
  282.         $this->cookies = new InputBag($cookies);
  283.         $this->files = new FileBag($files);
  284.         $this->server = new ServerBag($server);
  285.         $this->headers = new HeaderBag($this->server->getHeaders());
  287.         $this->content $content;
  288.         $this->languages null;
  289.         $this->charsets null;
  290.         $this->encodings null;
  291.         $this->acceptableContentTypes null;
  292.         $this->pathInfo null;
  293.         $this->requestUri null;
  294.         $this->baseUrl null;
  295.         $this->basePath null;
  296.         $this->method null;
  297.         $this->format null;
  298.     }
  300.     /**
  301.      * Creates a new request with values from PHP's super globals.
  302.      */
  303.     public static function createFromGlobals(): static
  304.     {
  305.         $request self::createRequestFromFactory($_GET$_POST, [], $_COOKIE$_FILES$_SERVER);
  307.         if (str_starts_with($request->headers->get('CONTENT_TYPE'''), 'application/x-www-form-urlencoded')
  308.             && \in_array(strtoupper($request->server->get('REQUEST_METHOD''GET')), ['PUT''DELETE''PATCH'])
  309.         ) {
  310.             parse_str($request->getContent(), $data);
  311.             $request->request = new InputBag($data);
  312.         }
  314.         return $request;
  315.     }
  317.     /**
  318.      * Creates a Request based on a given URI and configuration.
  319.      *
  320.      * The information contained in the URI always take precedence
  321.      * over the other information (server and parameters).
  322.      *
  323.      * @param string               $uri        The URI
  324.      * @param string               $method     The HTTP method
  325.      * @param array                $parameters The query (GET) or request (POST) parameters
  326.      * @param array                $cookies    The request cookies ($_COOKIE)
  327.      * @param array                $files      The request files ($_FILES)
  328.      * @param array                $server     The server parameters ($_SERVER)
  329.      * @param string|resource|null $content    The raw body data
  330.      *
  331.      * @throws BadRequestException When the URI is invalid
  332.      */
  333.     public static function create(string $uristring $method 'GET', array $parameters = [], array $cookies = [], array $files = [], array $server = [], $content null): static
  334.     {
  335.         $server array_replace([
  336.             'SERVER_NAME' => 'localhost',
  337.             'SERVER_PORT' => 80,
  338.             'HTTP_HOST' => 'localhost',
  339.             'HTTP_USER_AGENT' => 'Symfony',
  340.             'HTTP_ACCEPT' => 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
  341.             'HTTP_ACCEPT_LANGUAGE' => 'en-us,en;q=0.5',
  342.             'HTTP_ACCEPT_CHARSET' => 'ISO-8859-1,utf-8;q=0.7,*;q=0.7',
  343.             'REMOTE_ADDR' => '127.0.0.1',
  344.             'SCRIPT_NAME' => '',
  345.             'SCRIPT_FILENAME' => '',
  346.             'SERVER_PROTOCOL' => 'HTTP/1.1',
  347.             'REQUEST_TIME' => time(),
  348.             'REQUEST_TIME_FLOAT' => microtime(true),
  349.         ], $server);
  351.         $server['PATH_INFO'] = '';
  352.         $server['REQUEST_METHOD'] = strtoupper($method);
  354.         if (false === $components parse_url(\strlen($uri) !== strcspn($uri'?#') ? $uri $uri.'#')) {
  355.             throw new BadRequestException('Invalid URI.');
  356.         }
  358.         if (false !== ($i strpos($uri'\\')) && $i strcspn($uri'?#')) {
  359.             throw new BadRequestException('Invalid URI: A URI cannot contain a backslash.');
  360.         }
  361.         if (\strlen($uri) !== strcspn($uri"\r\n\t")) {
  362.             throw new BadRequestException('Invalid URI: A URI cannot contain CR/LF/TAB characters.');
  363.         }
  364.         if ('' !== $uri && (\ord($uri[0]) <= 32 || \ord($uri[-1]) <= 32)) {
  365.             throw new BadRequestException('Invalid URI: A URI must not start nor end with ASCII control characters or spaces.');
  366.         }
  368.         if (isset($components['host'])) {
  369.             $server['SERVER_NAME'] = $components['host'];
  370.             $server['HTTP_HOST'] = $components['host'];
  371.         }
  373.         if (isset($components['scheme'])) {
  374.             if ('https' === $components['scheme']) {
  375.                 $server['HTTPS'] = 'on';
  376.                 $server['SERVER_PORT'] = 443;
  377.             } else {
  378.                 unset($server['HTTPS']);
  379.                 $server['SERVER_PORT'] = 80;
  380.             }
  381.         }
  383.         if (isset($components['port'])) {
  384.             $server['SERVER_PORT'] = $components['port'];
  385.             $server['HTTP_HOST'] .= ':'.$components['port'];
  386.         }
  388.         if (isset($components['user'])) {
  389.             $server['PHP_AUTH_USER'] = $components['user'];
  390.         }
  392.         if (isset($components['pass'])) {
  393.             $server['PHP_AUTH_PW'] = $components['pass'];
  394.         }
  396.         if (!isset($components['path'])) {
  397.             $components['path'] = '/';
  398.         }
  400.         switch (strtoupper($method)) {
  401.             case 'POST':
  402.             case 'PUT':
  403.             case 'DELETE':
  404.                 if (!isset($server['CONTENT_TYPE'])) {
  405.                     $server['CONTENT_TYPE'] = 'application/x-www-form-urlencoded';
  406.                 }
  407.                 // no break
  408.             case 'PATCH':
  409.                 $request $parameters;
  410.                 $query = [];
  411.                 break;
  412.             default:
  413.                 $request = [];
  414.                 $query $parameters;
  415.                 break;
  416.         }
  418.         $queryString '';
  419.         if (isset($components['query'])) {
  420.             parse_str(html_entity_decode($components['query']), $qs);
  422.             if ($query) {
  423.                 $query array_replace($qs$query);
  424.                 $queryString http_build_query($query'''&');
  425.             } else {
  426.                 $query $qs;
  427.                 $queryString $components['query'];
  428.             }
  429.         } elseif ($query) {
  430.             $queryString http_build_query($query'''&');
  431.         }
  433.         $server['REQUEST_URI'] = $components['path'].('' !== $queryString '?'.$queryString '');
  434.         $server['QUERY_STRING'] = $queryString;
  436.         return self::createRequestFromFactory($query$request, [], $cookies$files$server$content);
  437.     }
  439.     /**
  440.      * Sets a callable able to create a Request instance.
  441.      *
  442.      * This is mainly useful when you need to override the Request class
  443.      * to keep BC with an existing system. It should not be used for any
  444.      * other purpose.
  445.      *
  446.      * @return void
  447.      */
  448.     public static function setFactory(?callable $callable)
  449.     {
  450.         self::$requestFactory $callable;
  451.     }
  453.     /**
  454.      * Clones a request and overrides some of its parameters.
  455.      *
  456.      * @param array|null $query      The GET parameters
  457.      * @param array|null $request    The POST parameters
  458.      * @param array|null $attributes The request attributes (parameters parsed from the PATH_INFO, ...)
  459.      * @param array|null $cookies    The COOKIE parameters
  460.      * @param array|null $files      The FILES parameters
  461.      * @param array|null $server     The SERVER parameters
  462.      */
  463.     public function duplicate(?array $query null, ?array $request null, ?array $attributes null, ?array $cookies null, ?array $files null, ?array $server null): static
  464.     {
  465.         $dup = clone $this;
  466.         if (null !== $query) {
  467.             $dup->query = new InputBag($query);
  468.         }
  469.         if (null !== $request) {
  470.             $dup->request = new InputBag($request);
  471.         }
  472.         if (null !== $attributes) {
  473.             $dup->attributes = new ParameterBag($attributes);
  474.         }
  475.         if (null !== $cookies) {
  476.             $dup->cookies = new InputBag($cookies);
  477.         }
  478.         if (null !== $files) {
  479.             $dup->files = new FileBag($files);
  480.         }
  481.         if (null !== $server) {
  482.             $dup->server = new ServerBag($server);
  483.             $dup->headers = new HeaderBag($dup->server->getHeaders());
  484.         }
  485.         $dup->languages null;
  486.         $dup->charsets null;
  487.         $dup->encodings null;
  488.         $dup->acceptableContentTypes null;
  489.         $dup->pathInfo null;
  490.         $dup->requestUri null;
  491.         $dup->baseUrl null;
  492.         $dup->basePath null;
  493.         $dup->method null;
  494.         $dup->format null;
  496.         if (!$dup->get('_format') && $this->get('_format')) {
  497.             $dup->attributes->set('_format'$this->get('_format'));
  498.         }
  500.         if (!$dup->getRequestFormat(null)) {
  501.             $dup->setRequestFormat($this->getRequestFormat(null));
  502.         }
  504.         return $dup;
  505.     }
  507.     /**
  508.      * Clones the current request.
  509.      *
  510.      * Note that the session is not cloned as duplicated requests
  511.      * are most of the time sub-requests of the main one.
  512.      */
  513.     public function __clone()
  514.     {
  515.         $this->query = clone $this->query;
  516.         $this->request = clone $this->request;
  517.         $this->attributes = clone $this->attributes;
  518.         $this->cookies = clone $this->cookies;
  519.         $this->files = clone $this->files;
  520.         $this->server = clone $this->server;
  521.         $this->headers = clone $this->headers;
  522.     }
  524.     public function __toString(): string
  525.     {
  526.         $content $this->getContent();
  528.         $cookieHeader '';
  529.         $cookies = [];
  531.         foreach ($this->cookies as $k => $v) {
  532.             $cookies[] = \is_array($v) ? http_build_query([$k => $v], '''; '\PHP_QUERY_RFC3986) : "$k=$v";
  533.         }
  535.         if ($cookies) {
  536.             $cookieHeader 'Cookie: '.implode('; '$cookies)."\r\n";
  537.         }
  539.         return
  540.             \sprintf('%s %s %s'$this->getMethod(), $this->getRequestUri(), $this->server->get('SERVER_PROTOCOL'))."\r\n".
  541.             $this->headers.
  542.             $cookieHeader."\r\n".
  543.             $content;
  544.     }
  546.     /**
  547.      * Overrides the PHP global variables according to this request instance.
  548.      *
  549.      * It overrides $_GET, $_POST, $_REQUEST, $_SERVER, $_COOKIE.
  550.      * $_FILES is never overridden, see rfc1867
  551.      *
  552.      * @return void
  553.      */
  554.     public function overrideGlobals()
  555.     {
  556.         $this->server->set('QUERY_STRING', static::normalizeQueryString(http_build_query($this->query->all(), '''&')));
  558.         $_GET $this->query->all();
  559.         $_POST $this->request->all();
  560.         $_SERVER $this->server->all();
  561.         $_COOKIE $this->cookies->all();
  563.         foreach ($this->headers->all() as $key => $value) {
  564.             $key strtoupper(str_replace('-''_'$key));
  565.             if (\in_array($key, ['CONTENT_TYPE''CONTENT_LENGTH''CONTENT_MD5'], true)) {
  566.                 $_SERVER[$key] = implode(', '$value);
  567.             } else {
  568.                 $_SERVER['HTTP_'.$key] = implode(', '$value);
  569.             }
  570.         }
  572.         $request = ['g' => $_GET'p' => $_POST'c' => $_COOKIE];
  574.         $requestOrder \ini_get('request_order') ?: \ini_get('variables_order');
  575.         $requestOrder preg_replace('#[^cgp]#'''strtolower($requestOrder)) ?: 'gp';
  577.         $_REQUEST = [[]];
  579.         foreach (str_split($requestOrder) as $order) {
  580.             $_REQUEST[] = $request[$order];
  581.         }
  583.         $_REQUEST array_merge(...$_REQUEST);
  584.     }
  586.     /**
  587.      * Sets a list of trusted proxies.
  588.      *
  589.      * You should only list the reverse proxies that you manage directly.
  590.      *
  591.      * @param array $proxies          A list of trusted proxies, the string 'REMOTE_ADDR' will be replaced with $_SERVER['REMOTE_ADDR']
  592.      * @param int   $trustedHeaderSet A bit field of Request::HEADER_*, to set which headers to trust from your proxies
  593.      *
  594.      * @return void
  595.      */
  596.     public static function setTrustedProxies(array $proxiesint $trustedHeaderSet)
  597.     {
  598.         self::$trustedProxies array_reduce($proxies, function ($proxies$proxy) {
  599.             if ('REMOTE_ADDR' !== $proxy) {
  600.                 $proxies[] = $proxy;
  601.             } elseif (isset($_SERVER['REMOTE_ADDR'])) {
  602.                 $proxies[] = $_SERVER['REMOTE_ADDR'];
  603.             }
  605.             return $proxies;
  606.         }, []);
  607.         self::$trustedHeaderSet $trustedHeaderSet;
  608.     }
  610.     /**
  611.      * Gets the list of trusted proxies.
  612.      *
  613.      * @return string[]
  614.      */
  615.     public static function getTrustedProxies(): array
  616.     {
  617.         return self::$trustedProxies;
  618.     }
  620.     /**
  621.      * Gets the set of trusted headers from trusted proxies.
  622.      *
  623.      * @return int A bit field of Request::HEADER_* that defines which headers are trusted from your proxies
  624.      */
  625.     public static function getTrustedHeaderSet(): int
  626.     {
  627.         return self::$trustedHeaderSet;
  628.     }
  630.     /**
  631.      * Sets a list of trusted host patterns.
  632.      *
  633.      * You should only list the hosts you manage using regexs.
  634.      *
  635.      * @param array $hostPatterns A list of trusted host patterns
  636.      *
  637.      * @return void
  638.      */
  639.     public static function setTrustedHosts(array $hostPatterns)
  640.     {
  641.         self::$trustedHostPatterns array_map(fn ($hostPattern) => \sprintf('{%s}i'$hostPattern), $hostPatterns);
  642.         // we need to reset trusted hosts on trusted host patterns change
  643.         self::$trustedHosts = [];
  644.     }
  646.     /**
  647.      * Gets the list of trusted host patterns.
  648.      *
  649.      * @return string[]
  650.      */
  651.     public static function getTrustedHosts(): array
  652.     {
  653.         return self::$trustedHostPatterns;
  654.     }
  656.     /**
  657.      * Normalizes a query string.
  658.      *
  659.      * It builds a normalized query string, where keys/value pairs are alphabetized,
  660.      * have consistent escaping and unneeded delimiters are removed.
  661.      */
  662.     public static function normalizeQueryString(?string $qs): string
  663.     {
  664.         if ('' === ($qs ?? '')) {
  665.             return '';
  666.         }
  668.         $qs HeaderUtils::parseQuery($qs);
  669.         ksort($qs);
  671.         return http_build_query($qs'''&'\PHP_QUERY_RFC3986);
  672.     }
  674.     /**
  675.      * Enables support for the _method request parameter to determine the intended HTTP method.
  676.      *
  677.      * Be warned that enabling this feature might lead to CSRF issues in your code.
  678.      * Check that you are using CSRF tokens when required.
  679.      * If the HTTP method parameter override is enabled, an html-form with method "POST" can be altered
  680.      * and used to send a "PUT" or "DELETE" request via the _method request parameter.
  681.      * If these methods are not protected against CSRF, this presents a possible vulnerability.
  682.      *
  683.      * The HTTP method can only be overridden when the real HTTP method is POST.
  684.      *
  685.      * @return void
  686.      */
  687.     public static function enableHttpMethodParameterOverride()
  688.     {
  689.         self::$httpMethodParameterOverride true;
  690.     }
  692.     /**
  693.      * Checks whether support for the _method request parameter is enabled.
  694.      */
  695.     public static function getHttpMethodParameterOverride(): bool
  696.     {
  697.         return self::$httpMethodParameterOverride;
  698.     }
  700.     /**
  701.      * Gets a "parameter" value from any bag.
  702.      *
  703.      * This method is mainly useful for libraries that want to provide some flexibility. If you don't need the
  704.      * flexibility in controllers, it is better to explicitly get request parameters from the appropriate
  705.      * public property instead (attributes, query, request).
  706.      *
  707.      * Order of precedence: PATH (routing placeholders or custom attributes), GET, POST
  708.      *
  709.      * @internal use explicit input sources instead
  710.      */
  711.     public function get(string $keymixed $default null): mixed
  712.     {
  713.         if ($this !== $result $this->attributes->get($key$this)) {
  714.             return $result;
  715.         }
  717.         if ($this->query->has($key)) {
  718.             return $this->query->all()[$key];
  719.         }
  721.         if ($this->request->has($key)) {
  722.             return $this->request->all()[$key];
  723.         }
  725.         return $default;
  726.     }
  728.     /**
  729.      * Gets the Session.
  730.      *
  731.      * @throws SessionNotFoundException When session is not set properly
  732.      */
  733.     public function getSession(): SessionInterface
  734.     {
  735.         $session $this->session;
  736.         if (!$session instanceof SessionInterface && null !== $session) {
  737.             $this->setSession($session $session());
  738.         }
  740.         if (null === $session) {
  741.             throw new SessionNotFoundException('Session has not been set.');
  742.         }
  744.         return $session;
  745.     }
  747.     /**
  748.      * Whether the request contains a Session which was started in one of the
  749.      * previous requests.
  750.      */
  751.     public function hasPreviousSession(): bool
  752.     {
  753.         // the check for $this->session avoids malicious users trying to fake a session cookie with proper name
  754.         return $this->hasSession() && $this->cookies->has($this->getSession()->getName());
  755.     }
  757.     /**
  758.      * Whether the request contains a Session object.
  759.      *
  760.      * This method does not give any information about the state of the session object,
  761.      * like whether the session is started or not. It is just a way to check if this Request
  762.      * is associated with a Session instance.
  763.      *
  764.      * @param bool $skipIfUninitialized When true, ignores factories injected by `setSessionFactory`
  765.      */
  766.     public function hasSession(bool $skipIfUninitialized false): bool
  767.     {
  768.         return null !== $this->session && (!$skipIfUninitialized || $this->session instanceof SessionInterface);
  769.     }
  771.     /**
  772.      * @return void
  773.      */
  774.     public function setSession(SessionInterface $session)
  775.     {
  776.         $this->session $session;
  777.     }
  779.     /**
  780.      * @internal
  781.      *
  782.      * @param callable(): SessionInterface $factory
  783.      */
  784.     public function setSessionFactory(callable $factory): void
  785.     {
  786.         $this->session $factory(...);
  787.     }
  789.     /**
  790.      * Returns the client IP addresses.
  791.      *
  792.      * In the returned array the most trusted IP address is first, and the
  793.      * least trusted one last. The "real" client IP address is the last one,
  794.      * but this is also the least trusted one. Trusted proxies are stripped.
  795.      *
  796.      * Use this method carefully; you should use getClientIp() instead.
  797.      *
  798.      * @see getClientIp()
  799.      */
  800.     public function getClientIps(): array
  801.     {
  802.         $ip $this->server->get('REMOTE_ADDR');
  804.         if (!$this->isFromTrustedProxy()) {
  805.             return [$ip];
  806.         }
  808.         return $this->getTrustedValues(self::HEADER_X_FORWARDED_FOR$ip) ?: [$ip];
  809.     }
  811.     /**
  812.      * Returns the client IP address.
  813.      *
  814.      * This method can read the client IP address from the "X-Forwarded-For" header
  815.      * when trusted proxies were set via "setTrustedProxies()". The "X-Forwarded-For"
  816.      * header value is a comma+space separated list of IP addresses, the left-most
  817.      * being the original client, and each successive proxy that passed the request
  818.      * adding the IP address where it received the request from.
  819.      *
  820.      * If your reverse proxy uses a different header name than "X-Forwarded-For",
  821.      * ("Client-Ip" for instance), configure it via the $trustedHeaderSet
  822.      * argument of the Request::setTrustedProxies() method instead.
  823.      *
  824.      * @see getClientIps()
  825.      * @see https://wikipedia.org/wiki/X-Forwarded-For
  826.      */
  827.     public function getClientIp(): ?string
  828.     {
  829.         $ipAddresses $this->getClientIps();
  831.         return $ipAddresses[0];
  832.     }
  834.     /**
  835.      * Returns current script name.
  836.      */
  837.     public function getScriptName(): string
  838.     {
  839.         return $this->server->get('SCRIPT_NAME'$this->server->get('ORIG_SCRIPT_NAME'''));
  840.     }
  842.     /**
  843.      * Returns the path being requested relative to the executed script.
  844.      *
  845.      * The path info always starts with a /.
  846.      *
  847.      * Suppose this request is instantiated from /mysite on localhost:
  848.      *
  849.      *  * http://localhost/mysite              returns an empty string
  850.      *  * http://localhost/mysite/about        returns '/about'
  851.      *  * http://localhost/mysite/enco%20ded   returns '/enco%20ded'
  852.      *  * http://localhost/mysite/about?var=1  returns '/about'
  853.      *
  854.      * @return string The raw path (i.e. not urldecoded)
  855.      */
  856.     public function getPathInfo(): string
  857.     {
  858.         return $this->pathInfo ??= $this->preparePathInfo();
  859.     }
  861.     /**
  862.      * Returns the root path from which this request is executed.
  863.      *
  864.      * Suppose that an index.php file instantiates this request object:
  865.      *
  866.      *  * http://localhost/index.php         returns an empty string
  867.      *  * http://localhost/index.php/page    returns an empty string
  868.      *  * http://localhost/web/index.php     returns '/web'
  869.      *  * http://localhost/we%20b/index.php  returns '/we%20b'
  870.      *
  871.      * @return string The raw path (i.e. not urldecoded)
  872.      */
  873.     public function getBasePath(): string
  874.     {
  875.         return $this->basePath ??= $this->prepareBasePath();
  876.     }
  878.     /**
  879.      * Returns the root URL from which this request is executed.
  880.      *
  881.      * The base URL never ends with a /.
  882.      *
  883.      * This is similar to getBasePath(), except that it also includes the
  884.      * script filename (e.g. index.php) if one exists.
  885.      *
  886.      * @return string The raw URL (i.e. not urldecoded)
  887.      */
  888.     public function getBaseUrl(): string
  889.     {
  890.         $trustedPrefix '';
  892.         // the proxy prefix must be prepended to any prefix being needed at the webserver level
  893.         if ($this->isFromTrustedProxy() && $trustedPrefixValues $this->getTrustedValues(self::HEADER_X_FORWARDED_PREFIX)) {
  894.             $trustedPrefix rtrim($trustedPrefixValues[0], '/');
  895.         }
  897.         return $trustedPrefix.$this->getBaseUrlReal();
  898.     }
  900.     /**
  901.      * Returns the real base URL received by the webserver from which this request is executed.
  902.      * The URL does not include trusted reverse proxy prefix.
  903.      *
  904.      * @return string The raw URL (i.e. not urldecoded)
  905.      */
  906.     private function getBaseUrlReal(): string
  907.     {
  908.         return $this->baseUrl ??= $this->prepareBaseUrl();
  909.     }
  911.     /**
  912.      * Gets the request's scheme.
  913.      */
  914.     public function getScheme(): string
  915.     {
  916.         return $this->isSecure() ? 'https' 'http';
  917.     }
  919.     /**
  920.      * Returns the port on which the request is made.
  921.      *
  922.      * This method can read the client port from the "X-Forwarded-Port" header
  923.      * when trusted proxies were set via "setTrustedProxies()".
  924.      *
  925.      * The "X-Forwarded-Port" header must contain the client port.
  926.      *
  927.      * @return int|string|null Can be a string if fetched from the server bag
  928.      */
  929.     public function getPort(): int|string|null
  930.     {
  931.         if ($this->isFromTrustedProxy() && $host $this->getTrustedValues(self::HEADER_X_FORWARDED_PORT)) {
  932.             $host $host[0];
  933.         } elseif ($this->isFromTrustedProxy() && $host $this->getTrustedValues(self::HEADER_X_FORWARDED_HOST)) {
  934.             $host $host[0];
  935.         } elseif (!$host $this->headers->get('HOST')) {
  936.             return $this->server->get('SERVER_PORT');
  937.         }
  939.         if ('[' === $host[0]) {
  940.             $pos strpos($host':'strrpos($host']'));
  941.         } else {
  942.             $pos strrpos($host':');
  943.         }
  945.         if (false !== $pos && $port substr($host$pos 1)) {
  946.             return (int) $port;
  947.         }
  949.         return 'https' === $this->getScheme() ? 443 80;
  950.     }
  952.     /**
  953.      * Returns the user.
  954.      */
  955.     public function getUser(): ?string
  956.     {
  957.         return $this->headers->get('PHP_AUTH_USER');
  958.     }
  960.     /**
  961.      * Returns the password.
  962.      */
  963.     public function getPassword(): ?string
  964.     {
  965.         return $this->headers->get('PHP_AUTH_PW');
  966.     }
  968.     /**
  969.      * Gets the user info.
  970.      *
  971.      * @return string|null A user name if any and, optionally, scheme-specific information about how to gain authorization to access the server
  972.      */
  973.     public function getUserInfo(): ?string
  974.     {
  975.         $userinfo $this->getUser();
  977.         $pass $this->getPassword();
  978.         if ('' != $pass) {
  979.             $userinfo .= ":$pass";
  980.         }
  982.         return $userinfo;
  983.     }
  985.     /**
  986.      * Returns the HTTP host being requested.
  987.      *
  988.      * The port name will be appended to the host if it's non-standard.
  989.      */
  990.     public function getHttpHost(): string
  991.     {
  992.         $scheme $this->getScheme();
  993.         $port $this->getPort();
  995.         if (('http' === $scheme && 80 == $port) || ('https' === $scheme && 443 == $port)) {
  996.             return $this->getHost();
  997.         }
  999.         return $this->getHost().':'.$port;
  1000.     }
  1002.     /**
  1003.      * Returns the requested URI (path and query string).
  1004.      *
  1005.      * @return string The raw URI (i.e. not URI decoded)
  1006.      */
  1007.     public function getRequestUri(): string
  1008.     {
  1009.         return $this->requestUri ??= $this->prepareRequestUri();
  1010.     }
  1012.     /**
  1013.      * Gets the scheme and HTTP host.
  1014.      *
  1015.      * If the URL was called with basic authentication, the user
  1016.      * and the password are not added to the generated string.
  1017.      */
  1018.     public function getSchemeAndHttpHost(): string
  1019.     {
  1020.         return $this->getScheme().'://'.$this->getHttpHost();
  1021.     }
  1023.     /**
  1024.      * Generates a normalized URI (URL) for the Request.
  1025.      *
  1026.      * @see getQueryString()
  1027.      */
  1028.     public function getUri(): string
  1029.     {
  1030.         if (null !== $qs $this->getQueryString()) {
  1031.             $qs '?'.$qs;
  1032.         }
  1034.         return $this->getSchemeAndHttpHost().$this->getBaseUrl().$this->getPathInfo().$qs;
  1035.     }
  1037.     /**
  1038.      * Generates a normalized URI for the given path.
  1039.      *
  1040.      * @param string $path A path to use instead of the current one
  1041.      */
  1042.     public function getUriForPath(string $path): string
  1043.     {
  1044.         return $this->getSchemeAndHttpHost().$this->getBaseUrl().$path;
  1045.     }
  1047.     /**
  1048.      * Returns the path as relative reference from the current Request path.
  1049.      *
  1050.      * Only the URIs path component (no schema, host etc.) is relevant and must be given.
  1051.      * Both paths must be absolute and not contain relative parts.
  1052.      * Relative URLs from one resource to another are useful when generating self-contained downloadable document archives.
  1053.      * Furthermore, they can be used to reduce the link size in documents.
  1054.      *
  1055.      * Example target paths, given a base path of "/a/b/c/d":
  1056.      * - "/a/b/c/d"     -> ""
  1057.      * - "/a/b/c/"      -> "./"
  1058.      * - "/a/b/"        -> "../"
  1059.      * - "/a/b/c/other" -> "other"
  1060.      * - "/a/x/y"       -> "../../x/y"
  1061.      */
  1062.     public function getRelativeUriForPath(string $path): string
  1063.     {
  1064.         // be sure that we are dealing with an absolute path
  1065.         if (!isset($path[0]) || '/' !== $path[0]) {
  1066.             return $path;
  1067.         }
  1069.         if ($path === $basePath $this->getPathInfo()) {
  1070.             return '';
  1071.         }
  1073.         $sourceDirs explode('/', isset($basePath[0]) && '/' === $basePath[0] ? substr($basePath1) : $basePath);
  1074.         $targetDirs explode('/'substr($path1));
  1075.         array_pop($sourceDirs);
  1076.         $targetFile array_pop($targetDirs);
  1078.         foreach ($sourceDirs as $i => $dir) {
  1079.             if (isset($targetDirs[$i]) && $dir === $targetDirs[$i]) {
  1080.                 unset($sourceDirs[$i], $targetDirs[$i]);
  1081.             } else {
  1082.                 break;
  1083.             }
  1084.         }
  1086.         $targetDirs[] = $targetFile;
  1087.         $path str_repeat('../'\count($sourceDirs)).implode('/'$targetDirs);
  1089.         // A reference to the same base directory or an empty subdirectory must be prefixed with "./".
  1090.         // This also applies to a segment with a colon character (e.g., "file:colon") that cannot be used
  1091.         // as the first segment of a relative-path reference, as it would be mistaken for a scheme name
  1092.         // (see https://tools.ietf.org/html/rfc3986#section-4.2).
  1093.         return !isset($path[0]) || '/' === $path[0]
  1094.             || false !== ($colonPos strpos($path':')) && ($colonPos < ($slashPos strpos($path'/')) || false === $slashPos)
  1095.             ? "./$path$path;
  1096.     }
  1098.     /**
  1099.      * Generates the normalized query string for the Request.
  1100.      *
  1101.      * It builds a normalized query string, where keys/value pairs are alphabetized
  1102.      * and have consistent escaping.
  1103.      */
  1104.     public function getQueryString(): ?string
  1105.     {
  1106.         $qs = static::normalizeQueryString($this->server->get('QUERY_STRING'));
  1108.         return '' === $qs null $qs;
  1109.     }
  1111.     /**
  1112.      * Checks whether the request is secure or not.
  1113.      *
  1114.      * This method can read the client protocol from the "X-Forwarded-Proto" header
  1115.      * when trusted proxies were set via "setTrustedProxies()".
  1116.      *
  1117.      * The "X-Forwarded-Proto" header must contain the protocol: "https" or "http".
  1118.      */
  1119.     public function isSecure(): bool
  1120.     {
  1121.         if ($this->isFromTrustedProxy() && $proto $this->getTrustedValues(self::HEADER_X_FORWARDED_PROTO)) {
  1122.             return \in_array(strtolower($proto[0]), ['https''on''ssl''1'], true);
  1123.         }
  1125.         $https $this->server->get('HTTPS');
  1127.         return !empty($https) && 'off' !== strtolower($https);
  1128.     }
  1130.     /**
  1131.      * Returns the host name.
  1132.      *
  1133.      * This method can read the client host name from the "X-Forwarded-Host" header
  1134.      * when trusted proxies were set via "setTrustedProxies()".
  1135.      *
  1136.      * The "X-Forwarded-Host" header must contain the client host name.
  1137.      *
  1138.      * @throws SuspiciousOperationException when the host name is invalid or not trusted
  1139.      */
  1140.     public function getHost(): string
  1141.     {
  1142.         if ($this->isFromTrustedProxy() && $host $this->getTrustedValues(self::HEADER_X_FORWARDED_HOST)) {
  1143.             $host $host[0];
  1144.         } elseif (!$host $this->headers->get('HOST')) {
  1145.             if (!$host $this->server->get('SERVER_NAME')) {
  1146.                 $host $this->server->get('SERVER_ADDR''');
  1147.             }
  1148.         }
  1150.         // trim and remove port number from host
  1151.         // host is lowercase as per RFC 952/2181
  1152.         $host strtolower(preg_replace('/:\d+$/'''trim($host)));
  1154.         // as the host can come from the user (HTTP_HOST and depending on the configuration, SERVER_NAME too can come from the user)
  1155.         // check that it does not contain forbidden characters (see RFC 952 and RFC 2181)
  1156.         // use preg_replace() instead of preg_match() to prevent DoS attacks with long host names
  1157.         if ($host && '' !== preg_replace('/(?:^\[)?[a-zA-Z0-9-:\]_]+\.?/'''$host)) {
  1158.             if (!$this->isHostValid) {
  1159.                 return '';
  1160.             }
  1161.             $this->isHostValid false;
  1163.             throw new SuspiciousOperationException(\sprintf('Invalid Host "%s".'$host));
  1164.         }
  1166.         if (\count(self::$trustedHostPatterns) > 0) {
  1167.             // to avoid host header injection attacks, you should provide a list of trusted host patterns
  1169.             if (\in_array($hostself::$trustedHosts)) {
  1170.                 return $host;
  1171.             }
  1173.             foreach (self::$trustedHostPatterns as $pattern) {
  1174.                 if (preg_match($pattern$host)) {
  1175.                     self::$trustedHosts[] = $host;
  1177.                     return $host;
  1178.                 }
  1179.             }
  1181.             if (!$this->isHostValid) {
  1182.                 return '';
  1183.             }
  1184.             $this->isHostValid false;
  1186.             throw new SuspiciousOperationException(\sprintf('Untrusted Host "%s".'$host));
  1187.         }
  1189.         return $host;
  1190.     }
  1192.     /**
  1193.      * Sets the request method.
  1194.      *
  1195.      * @return void
  1196.      */
  1197.     public function setMethod(string $method)
  1198.     {
  1199.         $this->method null;
  1200.         $this->server->set('REQUEST_METHOD'$method);
  1201.     }
  1203.     /**
  1204.      * Gets the request "intended" method.
  1205.      *
  1206.      * If the X-HTTP-Method-Override header is set, and if the method is a POST,
  1207.      * then it is used to determine the "real" intended HTTP method.
  1208.      *
  1209.      * The _method request parameter can also be used to determine the HTTP method,
  1210.      * but only if enableHttpMethodParameterOverride() has been called.
  1211.      *
  1212.      * The method is always an uppercased string.
  1213.      *
  1214.      * @see getRealMethod()
  1215.      */
  1216.     public function getMethod(): string
  1217.     {
  1218.         if (null !== $this->method) {
  1219.             return $this->method;
  1220.         }
  1222.         $this->method strtoupper($this->server->get('REQUEST_METHOD''GET'));
  1224.         if ('POST' !== $this->method) {
  1225.             return $this->method;
  1226.         }
  1228.         $method $this->headers->get('X-HTTP-METHOD-OVERRIDE');
  1230.         if (!$method && self::$httpMethodParameterOverride) {
  1231.             $method $this->request->get('_method'$this->query->get('_method''POST'));
  1232.         }
  1234.         if (!\is_string($method)) {
  1235.             return $this->method;
  1236.         }
  1238.         $method strtoupper($method);
  1240.         if (\in_array($method, ['GET''HEAD''POST''PUT''DELETE''CONNECT''OPTIONS''PATCH''PURGE''TRACE'], true)) {
  1241.             return $this->method $method;
  1242.         }
  1244.         if (!preg_match('/^[A-Z]++$/D'$method)) {
  1245.             throw new SuspiciousOperationException('Invalid HTTP method override.');
  1246.         }
  1248.         return $this->method $method;
  1249.     }
  1251.     /**
  1252.      * Gets the "real" request method.
  1253.      *
  1254.      * @see getMethod()
  1255.      */
  1256.     public function getRealMethod(): string
  1257.     {
  1258.         return strtoupper($this->server->get('REQUEST_METHOD''GET'));
  1259.     }
  1261.     /**
  1262.      * Gets the mime type associated with the format.
  1263.      */
  1264.     public function getMimeType(string $format): ?string
  1265.     {
  1266.         if (null === static::$formats) {
  1267.             static::initializeFormats();
  1268.         }
  1270.         return isset(static::$formats[$format]) ? static::$formats[$format][0] : null;
  1271.     }
  1273.     /**
  1274.      * Gets the mime types associated with the format.
  1275.      *
  1276.      * @return string[]
  1277.      */
  1278.     public static function getMimeTypes(string $format): array
  1279.     {
  1280.         if (null === static::$formats) {
  1281.             static::initializeFormats();
  1282.         }
  1284.         return static::$formats[$format] ?? [];
  1285.     }
  1287.     /**
  1288.      * Gets the format associated with the mime type.
  1289.      */
  1290.     public function getFormat(?string $mimeType): ?string
  1291.     {
  1292.         $canonicalMimeType null;
  1293.         if ($mimeType && false !== $pos strpos($mimeType';')) {
  1294.             $canonicalMimeType trim(substr($mimeType0$pos));
  1295.         }
  1297.         if (null === static::$formats) {
  1298.             static::initializeFormats();
  1299.         }
  1301.         foreach (static::$formats as $format => $mimeTypes) {
  1302.             if (\in_array($mimeType, (array) $mimeTypes)) {
  1303.                 return $format;
  1304.             }
  1305.             if (null !== $canonicalMimeType && \in_array($canonicalMimeType, (array) $mimeTypes)) {
  1306.                 return $format;
  1307.             }
  1308.         }
  1310.         return null;
  1311.     }
  1313.     /**
  1314.      * Associates a format with mime types.
  1315.      *
  1316.      * @param string|string[] $mimeTypes The associated mime types (the preferred one must be the first as it will be used as the content type)
  1317.      *
  1318.      * @return void
  1319.      */
  1320.     public function setFormat(?string $formatstring|array $mimeTypes)
  1321.     {
  1322.         if (null === static::$formats) {
  1323.             static::initializeFormats();
  1324.         }
  1326.         static::$formats[$format] = \is_array($mimeTypes) ? $mimeTypes : [$mimeTypes];
  1327.     }
  1329.     /**
  1330.      * Gets the request format.
  1331.      *
  1332.      * Here is the process to determine the format:
  1333.      *
  1334.      *  * format defined by the user (with setRequestFormat())
  1335.      *  * _format request attribute
  1336.      *  * $default
  1337.      *
  1338.      * @see getPreferredFormat
  1339.      */
  1340.     public function getRequestFormat(?string $default 'html'): ?string
  1341.     {
  1342.         $this->format ??= $this->attributes->get('_format');
  1344.         return $this->format ?? $default;
  1345.     }
  1347.     /**
  1348.      * Sets the request format.
  1349.      *
  1350.      * @return void
  1351.      */
  1352.     public function setRequestFormat(?string $format)
  1353.     {
  1354.         $this->format $format;
  1355.     }
  1357.     /**
  1358.      * Gets the usual name of the format associated with the request's media type (provided in the Content-Type header).
  1359.      *
  1360.      * @deprecated since Symfony 6.2, use getContentTypeFormat() instead
  1361.      */
  1362.     public function getContentType(): ?string
  1363.     {
  1364.         trigger_deprecation('symfony/http-foundation''6.2''The "%s()" method is deprecated, use "getContentTypeFormat()" instead.'__METHOD__);
  1366.         return $this->getContentTypeFormat();
  1367.     }
  1369.     /**
  1370.      * Gets the usual name of the format associated with the request's media type (provided in the Content-Type header).
  1371.      *
  1372.      * @see Request::$formats
  1373.      */
  1374.     public function getContentTypeFormat(): ?string
  1375.     {
  1376.         return $this->getFormat($this->headers->get('CONTENT_TYPE'''));
  1377.     }
  1379.     /**
  1380.      * Sets the default locale.
  1381.      *
  1382.      * @return void
  1383.      */
  1384.     public function setDefaultLocale(string $locale)
  1385.     {
  1386.         $this->defaultLocale $locale;
  1388.         if (null === $this->locale) {
  1389.             $this->setPhpDefaultLocale($locale);
  1390.         }
  1391.     }
  1393.     /**
  1394.      * Get the default locale.
  1395.      */
  1396.     public function getDefaultLocale(): string
  1397.     {
  1398.         return $this->defaultLocale;
  1399.     }
  1401.     /**
  1402.      * Sets the locale.
  1403.      *
  1404.      * @return void
  1405.      */
  1406.     public function setLocale(string $locale)
  1407.     {
  1408.         $this->setPhpDefaultLocale($this->locale $locale);
  1409.     }
  1411.     /**
  1412.      * Get the locale.
  1413.      */
  1414.     public function getLocale(): string
  1415.     {
  1416.         return $this->locale ?? $this->defaultLocale;
  1417.     }
  1419.     /**
  1420.      * Checks if the request method is of specified type.
  1421.      *
  1422.      * @param string $method Uppercase request method (GET, POST etc)
  1423.      */
  1424.     public function isMethod(string $method): bool
  1425.     {
  1426.         return $this->getMethod() === strtoupper($method);
  1427.     }
  1429.     /**
  1430.      * Checks whether or not the method is safe.
  1431.      *
  1432.      * @see https://tools.ietf.org/html/rfc7231#section-4.2.1
  1433.      */
  1434.     public function isMethodSafe(): bool
  1435.     {
  1436.         return \in_array($this->getMethod(), ['GET''HEAD''OPTIONS''TRACE']);
  1437.     }
  1439.     /**
  1440.      * Checks whether or not the method is idempotent.
  1441.      */
  1442.     public function isMethodIdempotent(): bool
  1443.     {
  1444.         return \in_array($this->getMethod(), ['HEAD''GET''PUT''DELETE''TRACE''OPTIONS''PURGE']);
  1445.     }
  1447.     /**
  1448.      * Checks whether the method is cacheable or not.
  1449.      *
  1450.      * @see https://tools.ietf.org/html/rfc7231#section-4.2.3
  1451.      */
  1452.     public function isMethodCacheable(): bool
  1453.     {
  1454.         return \in_array($this->getMethod(), ['GET''HEAD']);
  1455.     }
  1457.     /**
  1458.      * Returns the protocol version.
  1459.      *
  1460.      * If the application is behind a proxy, the protocol version used in the
  1461.      * requests between the client and the proxy and between the proxy and the
  1462.      * server might be different. This returns the former (from the "Via" header)
  1463.      * if the proxy is trusted (see "setTrustedProxies()"), otherwise it returns
  1464.      * the latter (from the "SERVER_PROTOCOL" server parameter).
  1465.      */
  1466.     public function getProtocolVersion(): ?string
  1467.     {
  1468.         if ($this->isFromTrustedProxy()) {
  1469.             preg_match('~^(HTTP/)?([1-9]\.[0-9])\b~'$this->headers->get('Via') ?? ''$matches);
  1471.             if ($matches) {
  1472.                 return 'HTTP/'.$matches[2];
  1473.             }
  1474.         }
  1476.         return $this->server->get('SERVER_PROTOCOL');
  1477.     }
  1479.     /**
  1480.      * Returns the request body content.
  1481.      *
  1482.      * @param bool $asResource If true, a resource will be returned
  1483.      *
  1484.      * @return string|resource
  1485.      *
  1486.      * @psalm-return ($asResource is true ? resource : string)
  1487.      */
  1488.     public function getContent(bool $asResource false)
  1489.     {
  1490.         $currentContentIsResource \is_resource($this->content);
  1492.         if (true === $asResource) {
  1493.             if ($currentContentIsResource) {
  1494.                 rewind($this->content);
  1496.                 return $this->content;
  1497.             }
  1499.             // Content passed in parameter (test)
  1500.             if (\is_string($this->content)) {
  1501.                 $resource fopen('php://temp''r+');
  1502.                 fwrite($resource$this->content);
  1503.                 rewind($resource);
  1505.                 return $resource;
  1506.             }
  1508.             $this->content false;
  1510.             return fopen('php://input''r');
  1511.         }
  1513.         if ($currentContentIsResource) {
  1514.             rewind($this->content);
  1516.             return stream_get_contents($this->content);
  1517.         }
  1519.         if (null === $this->content || false === $this->content) {
  1520.             $this->content file_get_contents('php://input');
  1521.         }
  1523.         return $this->content;
  1524.     }
  1526.     /**
  1527.      * Gets the decoded form or json request body.
  1528.      *
  1529.      * @throws JsonException When the body cannot be decoded to an array
  1530.      */
  1531.     public function getPayload(): InputBag
  1532.     {
  1533.         if ($this->request->count()) {
  1534.             return clone $this->request;
  1535.         }
  1537.         if ('' === $content $this->getContent()) {
  1538.             return new InputBag([]);
  1539.         }
  1541.         try {
  1542.             $content json_decode($contenttrue512\JSON_BIGINT_AS_STRING \JSON_THROW_ON_ERROR);
  1543.         } catch (\JsonException $e) {
  1544.             throw new JsonException('Could not decode request body.'$e->getCode(), $e);
  1545.         }
  1547.         if (!\is_array($content)) {
  1548.             throw new JsonException(\sprintf('JSON content was expected to decode to an array, "%s" returned.'get_debug_type($content)));
  1549.         }
  1551.         return new InputBag($content);
  1552.     }
  1554.     /**
  1555.      * Gets the request body decoded as array, typically from a JSON payload.
  1556.      *
  1557.      * @see getPayload() for portability between content types
  1558.      *
  1559.      * @throws JsonException When the body cannot be decoded to an array
  1560.      */
  1561.     public function toArray(): array
  1562.     {
  1563.         if ('' === $content $this->getContent()) {
  1564.             throw new JsonException('Request body is empty.');
  1565.         }
  1567.         try {
  1568.             $content json_decode($contenttrue512\JSON_BIGINT_AS_STRING \JSON_THROW_ON_ERROR);
  1569.         } catch (\JsonException $e) {
  1570.             throw new JsonException('Could not decode request body.'$e->getCode(), $e);
  1571.         }
  1573.         if (!\is_array($content)) {
  1574.             throw new JsonException(\sprintf('JSON content was expected to decode to an array, "%s" returned.'get_debug_type($content)));
  1575.         }
  1577.         return $content;
  1578.     }
  1580.     /**
  1581.      * Gets the Etags.
  1582.      */
  1583.     public function getETags(): array
  1584.     {
  1585.         return preg_split('/\s*,\s*/'$this->headers->get('If-None-Match'''), -1\PREG_SPLIT_NO_EMPTY);
  1586.     }
  1588.     public function isNoCache(): bool
  1589.     {
  1590.         return $this->headers->hasCacheControlDirective('no-cache') || 'no-cache' == $this->headers->get('Pragma');
  1591.     }
  1593.     /**
  1594.      * Gets the preferred format for the response by inspecting, in the following order:
  1595.      *   * the request format set using setRequestFormat;
  1596.      *   * the values of the Accept HTTP header.
  1597.      *
  1598.      * Note that if you use this method, you should send the "Vary: Accept" header
  1599.      * in the response to prevent any issues with intermediary HTTP caches.
  1600.      */
  1601.     public function getPreferredFormat(?string $default 'html'): ?string
  1602.     {
  1603.         if ($this->preferredFormat ??= $this->getRequestFormat(null)) {
  1604.             return $this->preferredFormat;
  1605.         }
  1607.         foreach ($this->getAcceptableContentTypes() as $mimeType) {
  1608.             if ($this->preferredFormat $this->getFormat($mimeType)) {
  1609.                 return $this->preferredFormat;
  1610.             }
  1611.         }
  1613.         return $default;
  1614.     }
  1616.     /**
  1617.      * Returns the preferred language.
  1618.      *
  1619.      * @param string[] $locales An array of ordered available locales
  1620.      */
  1621.     public function getPreferredLanguage(?array $locales null): ?string
  1622.     {
  1623.         $preferredLanguages $this->getLanguages();
  1625.         if (empty($locales)) {
  1626.             return $preferredLanguages[0] ?? null;
  1627.         }
  1629.         if (!$preferredLanguages) {
  1630.             return $locales[0];
  1631.         }
  1633.         $extendedPreferredLanguages = [];
  1634.         foreach ($preferredLanguages as $language) {
  1635.             $extendedPreferredLanguages[] = $language;
  1636.             if (false !== $position strpos($language'_')) {
  1637.                 $superLanguage substr($language0$position);
  1638.                 if (!\in_array($superLanguage$preferredLanguages)) {
  1639.                     $extendedPreferredLanguages[] = $superLanguage;
  1640.                 }
  1641.             }
  1642.         }
  1644.         $preferredLanguages array_values(array_intersect($extendedPreferredLanguages$locales));
  1646.         return $preferredLanguages[0] ?? $locales[0];
  1647.     }
  1649.     /**
  1650.      * Gets a list of languages acceptable by the client browser ordered in the user browser preferences.
  1651.      *
  1652.      * @return string[]
  1653.      */
  1654.     public function getLanguages(): array
  1655.     {
  1656.         if (null !== $this->languages) {
  1657.             return $this->languages;
  1658.         }
  1660.         $languages AcceptHeader::fromString($this->headers->get('Accept-Language'))->all();
  1661.         $this->languages = [];
  1662.         foreach ($languages as $acceptHeaderItem) {
  1663.             $lang $acceptHeaderItem->getValue();
  1664.             if (str_contains($lang'-')) {
  1665.                 $codes explode('-'$lang);
  1666.                 if ('i' === $codes[0]) {
  1667.                     // Language not listed in ISO 639 that are not variants
  1668.                     // of any listed language, which can be registered with the
  1669.                     // i-prefix, such as i-cherokee
  1670.                     if (\count($codes) > 1) {
  1671.                         $lang $codes[1];
  1672.                     }
  1673.                 } else {
  1674.                     for ($i 0$max \count($codes); $i $max; ++$i) {
  1675.                         if (=== $i) {
  1676.                             $lang strtolower($codes[0]);
  1677.                         } else {
  1678.                             $lang .= '_'.strtoupper($codes[$i]);
  1679.                         }
  1680.                     }
  1681.                 }
  1682.             }
  1684.             $this->languages[] = $lang;
  1685.         }
  1687.         return $this->languages;
  1688.     }
  1690.     /**
  1691.      * Gets a list of charsets acceptable by the client browser in preferable order.
  1692.      *
  1693.      * @return string[]
  1694.      */
  1695.     public function getCharsets(): array
  1696.     {
  1697.         return $this->charsets ??= array_map('strval'array_keys(AcceptHeader::fromString($this->headers->get('Accept-Charset'))->all()));
  1698.     }
  1700.     /**
  1701.      * Gets a list of encodings acceptable by the client browser in preferable order.
  1702.      *
  1703.      * @return string[]
  1704.      */
  1705.     public function getEncodings(): array
  1706.     {
  1707.         return $this->encodings ??= array_map('strval'array_keys(AcceptHeader::fromString($this->headers->get('Accept-Encoding'))->all()));
  1708.     }
  1710.     /**
  1711.      * Gets a list of content types acceptable by the client browser in preferable order.
  1712.      *
  1713.      * @return string[]
  1714.      */
  1715.     public function getAcceptableContentTypes(): array
  1716.     {
  1717.         return $this->acceptableContentTypes ??= array_map('strval'array_keys(AcceptHeader::fromString($this->headers->get('Accept'))->all()));
  1718.     }
  1720.     /**
  1721.      * Returns true if the request is an XMLHttpRequest.
  1722.      *
  1723.      * It works if your JavaScript library sets an X-Requested-With HTTP header.
  1724.      * It is known to work with common JavaScript frameworks:
  1725.      *
  1726.      * @see https://wikipedia.org/wiki/List_of_Ajax_frameworks#JavaScript
  1727.      */
  1728.     public function isXmlHttpRequest(): bool
  1729.     {
  1730.         return 'XMLHttpRequest' == $this->headers->get('X-Requested-With');
  1731.     }
  1733.     /**
  1734.      * Checks whether the client browser prefers safe content or not according to RFC8674.
  1735.      *
  1736.      * @see https://tools.ietf.org/html/rfc8674
  1737.      */
  1738.     public function preferSafeContent(): bool
  1739.     {
  1740.         if (isset($this->isSafeContentPreferred)) {
  1741.             return $this->isSafeContentPreferred;
  1742.         }
  1744.         if (!$this->isSecure()) {
  1745.             // see https://tools.ietf.org/html/rfc8674#section-3
  1746.             return $this->isSafeContentPreferred false;
  1747.         }
  1749.         return $this->isSafeContentPreferred AcceptHeader::fromString($this->headers->get('Prefer'))->has('safe');
  1750.     }
  1752.     /*
  1753.      * The following methods are derived from code of the Zend Framework (1.10dev - 2010-01-24)
  1754.      *
  1755.      * Code subject to the new BSD license (https://framework.zend.com/license).
  1756.      *
  1757.      * Copyright (c) 2005-2010 Zend Technologies USA Inc. (https://www.zend.com/)
  1758.      */
  1760.     /**
  1761.      * @return string
  1762.      */
  1763.     protected function prepareRequestUri()
  1764.     {
  1765.         $requestUri '';
  1767.         if ($this->isIisRewrite() && '' != $this->server->get('UNENCODED_URL')) {
  1768.             // IIS7 with URL Rewrite: make sure we get the unencoded URL (double slash problem)
  1769.             $requestUri $this->server->get('UNENCODED_URL');
  1770.             $this->server->remove('UNENCODED_URL');
  1771.         } elseif ($this->server->has('REQUEST_URI')) {
  1772.             $requestUri $this->server->get('REQUEST_URI');
  1774.             if ('' !== $requestUri && '/' === $requestUri[0]) {
  1775.                 // To only use path and query remove the fragment.
  1776.                 if (false !== $pos strpos($requestUri'#')) {
  1777.                     $requestUri substr($requestUri0$pos);
  1778.                 }
  1779.             } else {
  1780.                 // HTTP proxy reqs setup request URI with scheme and host [and port] + the URL path,
  1781.                 // only use URL path.
  1782.                 $uriComponents parse_url($requestUri);
  1784.                 if (isset($uriComponents['path'])) {
  1785.                     $requestUri $uriComponents['path'];
  1786.                 }
  1788.                 if (isset($uriComponents['query'])) {
  1789.                     $requestUri .= '?'.$uriComponents['query'];
  1790.                 }
  1791.             }
  1792.         } elseif ($this->server->has('ORIG_PATH_INFO')) {
  1793.             // IIS 5.0, PHP as CGI
  1794.             $requestUri $this->server->get('ORIG_PATH_INFO');
  1795.             if ('' != $this->server->get('QUERY_STRING')) {
  1796.                 $requestUri .= '?'.$this->server->get('QUERY_STRING');
  1797.             }
  1798.             $this->server->remove('ORIG_PATH_INFO');
  1799.         }
  1801.         // normalize the request URI to ease creating sub-requests from this request
  1802.         $this->server->set('REQUEST_URI'$requestUri);
  1804.         return $requestUri;
  1805.     }
  1807.     /**
  1808.      * Prepares the base URL.
  1809.      */
  1810.     protected function prepareBaseUrl(): string
  1811.     {
  1812.         $filename basename($this->server->get('SCRIPT_FILENAME'''));
  1814.         if (basename($this->server->get('SCRIPT_NAME''')) === $filename) {
  1815.             $baseUrl $this->server->get('SCRIPT_NAME');
  1816.         } elseif (basename($this->server->get('PHP_SELF''')) === $filename) {
  1817.             $baseUrl $this->server->get('PHP_SELF');
  1818.         } elseif (basename($this->server->get('ORIG_SCRIPT_NAME''')) === $filename) {
  1819.             $baseUrl $this->server->get('ORIG_SCRIPT_NAME'); // 1and1 shared hosting compatibility
  1820.         } else {
  1821.             // Backtrack up the script_filename to find the portion matching
  1822.             // php_self
  1823.             $path $this->server->get('PHP_SELF''');
  1824.             $file $this->server->get('SCRIPT_FILENAME''');
  1825.             $segs explode('/'trim($file'/'));
  1826.             $segs array_reverse($segs);
  1827.             $index 0;
  1828.             $last \count($segs);
  1829.             $baseUrl '';
  1830.             do {
  1831.                 $seg $segs[$index];
  1832.                 $baseUrl '/'.$seg.$baseUrl;
  1833.                 ++$index;
  1834.             } while ($last $index && (false !== $pos strpos($path$baseUrl)) && != $pos);
  1835.         }
  1837.         // Does the baseUrl have anything in common with the request_uri?
  1838.         $requestUri $this->getRequestUri();
  1839.         if ('' !== $requestUri && '/' !== $requestUri[0]) {
  1840.             $requestUri '/'.$requestUri;
  1841.         }
  1843.         if ($baseUrl && null !== $prefix $this->getUrlencodedPrefix($requestUri$baseUrl)) {
  1844.             // full $baseUrl matches
  1845.             return $prefix;
  1846.         }
  1848.         if ($baseUrl && null !== $prefix $this->getUrlencodedPrefix($requestUrirtrim(\dirname($baseUrl), '/'.\DIRECTORY_SEPARATOR).'/')) {
  1849.             // directory portion of $baseUrl matches
  1850.             return rtrim($prefix'/'.\DIRECTORY_SEPARATOR);
  1851.         }
  1853.         $truncatedRequestUri $requestUri;
  1854.         if (false !== $pos strpos($requestUri'?')) {
  1855.             $truncatedRequestUri substr($requestUri0$pos);
  1856.         }
  1858.         $basename basename($baseUrl ?? '');
  1859.         if (empty($basename) || !strpos(rawurldecode($truncatedRequestUri), $basename)) {
  1860.             // no match whatsoever; set it blank
  1861.             return '';
  1862.         }
  1864.         // If using mod_rewrite or ISAPI_Rewrite strip the script filename
  1865.         // out of baseUrl. $pos !== 0 makes sure it is not matching a value
  1866.         // from PATH_INFO or QUERY_STRING
  1867.         if (\strlen($requestUri) >= \strlen($baseUrl) && (false !== $pos strpos($requestUri$baseUrl)) && !== $pos) {
  1868.             $baseUrl substr($requestUri0$pos \strlen($baseUrl));
  1869.         }
  1871.         return rtrim($baseUrl'/'.\DIRECTORY_SEPARATOR);
  1872.     }
  1874.     /**
  1875.      * Prepares the base path.
  1876.      */
  1877.     protected function prepareBasePath(): string
  1878.     {
  1879.         $baseUrl $this->getBaseUrl();
  1880.         if (empty($baseUrl)) {
  1881.             return '';
  1882.         }
  1884.         $filename basename($this->server->get('SCRIPT_FILENAME'));
  1885.         if (basename($baseUrl) === $filename) {
  1886.             $basePath \dirname($baseUrl);
  1887.         } else {
  1888.             $basePath $baseUrl;
  1889.         }
  1891.         if ('\\' === \DIRECTORY_SEPARATOR) {
  1892.             $basePath str_replace('\\''/'$basePath);
  1893.         }
  1895.         return rtrim($basePath'/');
  1896.     }
  1898.     /**
  1899.      * Prepares the path info.
  1900.      */
  1901.     protected function preparePathInfo(): string
  1902.     {
  1903.         if (null === ($requestUri $this->getRequestUri())) {
  1904.             return '/';
  1905.         }
  1907.         // Remove the query string from REQUEST_URI
  1908.         if (false !== $pos strpos($requestUri'?')) {
  1909.             $requestUri substr($requestUri0$pos);
  1910.         }
  1911.         if ('' !== $requestUri && '/' !== $requestUri[0]) {
  1912.             $requestUri '/'.$requestUri;
  1913.         }
  1915.         if (null === ($baseUrl $this->getBaseUrlReal())) {
  1916.             return $requestUri;
  1917.         }
  1919.         $pathInfo substr($requestUri\strlen($baseUrl));
  1920.         if (false === $pathInfo || '' === $pathInfo) {
  1921.             // If substr() returns false then PATH_INFO is set to an empty string
  1922.             return '/';
  1923.         }
  1925.         return $pathInfo;
  1926.     }
  1928.     /**
  1929.      * Initializes HTTP request formats.
  1930.      *
  1931.      * @return void
  1932.      */
  1933.     protected static function initializeFormats()
  1934.     {
  1935.         static::$formats = [
  1936.             'html' => ['text/html''application/xhtml+xml'],
  1937.             'txt' => ['text/plain'],
  1938.             'js' => ['application/javascript''application/x-javascript''text/javascript'],
  1939.             'css' => ['text/css'],
  1940.             'json' => ['application/json''application/x-json'],
  1941.             'jsonld' => ['application/ld+json'],
  1942.             'xml' => ['text/xml''application/xml''application/x-xml'],
  1943.             'rdf' => ['application/rdf+xml'],
  1944.             'atom' => ['application/atom+xml'],
  1945.             'rss' => ['application/rss+xml'],
  1946.             'form' => ['application/x-www-form-urlencoded''multipart/form-data'],
  1947.         ];
  1948.     }
  1950.     private function setPhpDefaultLocale(string $locale): void
  1951.     {
  1952.         // if either the class Locale doesn't exist, or an exception is thrown when
  1953.         // setting the default locale, the intl module is not installed, and
  1954.         // the call can be ignored:
  1955.         try {
  1956.             if (class_exists(\Locale::class, false)) {
  1957.                 \Locale::setDefault($locale);
  1958.             }
  1959.         } catch (\Exception) {
  1960.         }
  1961.     }
  1963.     /**
  1964.      * Returns the prefix as encoded in the string when the string starts with
  1965.      * the given prefix, null otherwise.
  1966.      */
  1967.     private function getUrlencodedPrefix(string $stringstring $prefix): ?string
  1968.     {
  1969.         if ($this->isIisRewrite()) {
  1970.             // ISS with UrlRewriteModule might report SCRIPT_NAME/PHP_SELF with wrong case
  1971.             // see https://github.com/php/php-src/issues/11981
  1972.             if (!== stripos(rawurldecode($string), $prefix)) {
  1973.                 return null;
  1974.             }
  1975.         } elseif (!str_starts_with(rawurldecode($string), $prefix)) {
  1976.             return null;
  1977.         }
  1979.         $len \strlen($prefix);
  1981.         if (preg_match(\sprintf('#^(%%[[:xdigit:]]{2}|.){%d}#'$len), $string$match)) {
  1982.             return $match[0];
  1983.         }
  1985.         return null;
  1986.     }
  1988.     private static function createRequestFromFactory(array $query = [], array $request = [], array $attributes = [], array $cookies = [], array $files = [], array $server = [], $content null): static
  1989.     {
  1990.         if (self::$requestFactory) {
  1991.             $request = (self::$requestFactory)($query$request$attributes$cookies$files$server$content);
  1993.             if (!$request instanceof self) {
  1994.                 throw new \LogicException('The Request factory must return an instance of Symfony\Component\HttpFoundation\Request.');
  1995.             }
  1997.             return $request;
  1998.         }
  2000.         return new static($query$request$attributes$cookies$files$server$content);
  2001.     }
  2003.     /**
  2004.      * Indicates whether this request originated from a trusted proxy.
  2005.      *
  2006.      * This can be useful to determine whether or not to trust the
  2007.      * contents of a proxy-specific header.
  2008.      */
  2009.     public function isFromTrustedProxy(): bool
  2010.     {
  2011.         return self::$trustedProxies && IpUtils::checkIp($this->server->get('REMOTE_ADDR'''), self::$trustedProxies);
  2012.     }
  2014.     /**
  2015.      * This method is rather heavy because it splits and merges headers, and it's called by many other methods such as
  2016.      * getPort(), isSecure(), getHost(), getClientIps(), getBaseUrl() etc. Thus, we try to cache the results for
  2017.      * best performance.
  2018.      */
  2019.     private function getTrustedValues(int $type, ?string $ip null): array
  2020.     {
  2021.         $cacheKey $type."\0".((self::$trustedHeaderSet $type) ? $this->headers->get(self::TRUSTED_HEADERS[$type]) : '');
  2022.         $cacheKey .= "\0".$ip."\0".$this->headers->get(self::TRUSTED_HEADERS[self::HEADER_FORWARDED]);
  2024.         if (isset($this->trustedValuesCache[$cacheKey])) {
  2025.             return $this->trustedValuesCache[$cacheKey];
  2026.         }
  2028.         $clientValues = [];
  2029.         $forwardedValues = [];
  2031.         if ((self::$trustedHeaderSet $type) && $this->headers->has(self::TRUSTED_HEADERS[$type])) {
  2032.             foreach (explode(','$this->headers->get(self::TRUSTED_HEADERS[$type])) as $v) {
  2033.                 $clientValues[] = (self::HEADER_X_FORWARDED_PORT === $type '0.0.0.0:' '').trim($v);
  2034.             }
  2035.         }
  2037.         if ((self::$trustedHeaderSet self::HEADER_FORWARDED) && (isset(self::FORWARDED_PARAMS[$type])) && $this->headers->has(self::TRUSTED_HEADERS[self::HEADER_FORWARDED])) {
  2038.             $forwarded $this->headers->get(self::TRUSTED_HEADERS[self::HEADER_FORWARDED]);
  2039.             $parts HeaderUtils::split($forwarded',;=');
  2040.             $param self::FORWARDED_PARAMS[$type];
  2041.             foreach ($parts as $subParts) {
  2042.                 if (null === $v HeaderUtils::combine($subParts)[$param] ?? null) {
  2043.                     continue;
  2044.                 }
  2045.                 if (self::HEADER_X_FORWARDED_PORT === $type) {
  2046.                     if (str_ends_with($v']') || false === $v strrchr($v':')) {
  2047.                         $v $this->isSecure() ? ':443' ':80';
  2048.                     }
  2049.                     $v '0.0.0.0'.$v;
  2050.                 }
  2051.                 $forwardedValues[] = $v;
  2052.             }
  2053.         }
  2055.         if (null !== $ip) {
  2056.             $clientValues $this->normalizeAndFilterClientIps($clientValues$ip);
  2057.             $forwardedValues $this->normalizeAndFilterClientIps($forwardedValues$ip);
  2058.         }
  2060.         if ($forwardedValues === $clientValues || !$clientValues) {
  2061.             return $this->trustedValuesCache[$cacheKey] = $forwardedValues;
  2062.         }
  2064.         if (!$forwardedValues) {
  2065.             return $this->trustedValuesCache[$cacheKey] = $clientValues;
  2066.         }
  2068.         if (!$this->isForwardedValid) {
  2069.             return $this->trustedValuesCache[$cacheKey] = null !== $ip ? ['0.0.0.0'$ip] : [];
  2070.         }
  2071.         $this->isForwardedValid false;
  2073.         throw new ConflictingHeadersException(\sprintf('The request has both a trusted "%s" header and a trusted "%s" header, conflicting with each other. You should either configure your proxy to remove one of them, or configure your project to distrust the offending one.'self::TRUSTED_HEADERS[self::HEADER_FORWARDED], self::TRUSTED_HEADERS[$type]));
  2074.     }
  2076.     private function normalizeAndFilterClientIps(array $clientIpsstring $ip): array
  2077.     {
  2078.         if (!$clientIps) {
  2079.             return [];
  2080.         }
  2081.         $clientIps[] = $ip// Complete the IP chain with the IP the request actually came from
  2082.         $firstTrustedIp null;
  2084.         foreach ($clientIps as $key => $clientIp) {
  2085.             if (strpos($clientIp'.')) {
  2086.                 // Strip :port from IPv4 addresses. This is allowed in Forwarded
  2087.                 // and may occur in X-Forwarded-For.
  2088.                 $i strpos($clientIp':');
  2089.                 if ($i) {
  2090.                     $clientIps[$key] = $clientIp substr($clientIp0$i);
  2091.                 }
  2092.             } elseif (str_starts_with($clientIp'[')) {
  2093.                 // Strip brackets and :port from IPv6 addresses.
  2094.                 $i strpos($clientIp']'1);
  2095.                 $clientIps[$key] = $clientIp substr($clientIp1$i 1);
  2096.             }
  2098.             if (!filter_var($clientIp\FILTER_VALIDATE_IP)) {
  2099.                 unset($clientIps[$key]);
  2101.                 continue;
  2102.             }
  2104.             if (IpUtils::checkIp($clientIpself::$trustedProxies)) {
  2105.                 unset($clientIps[$key]);
  2107.                 // Fallback to this when the client IP falls into the range of trusted proxies
  2108.                 $firstTrustedIp ??= $clientIp;
  2109.             }
  2110.         }
  2112.         // Now the IP chain contains only untrusted proxies and the client IP
  2113.         return $clientIps array_reverse($clientIps) : [$firstTrustedIp];
  2114.     }
  2116.     /**
  2117.      * Is this IIS with UrlRewriteModule?
  2118.      *
  2119.      * This method consumes, caches and removed the IIS_WasUrlRewritten env var,
  2120.      * so we don't inherit it to sub-requests.
  2121.      */
  2122.     private function isIisRewrite(): bool
  2123.     {
  2124.         if (=== $this->server->getInt('IIS_WasUrlRewritten')) {
  2125.             $this->isIisRewrite true;
  2126.             $this->server->remove('IIS_WasUrlRewritten');
  2127.         }
  2129.         return $this->isIisRewrite;
  2130.     }
  2131. }