fba/csrf.py

   1 # Fedi API Block - An aggregator for fetching blocking data from fediverse nodes
   2 # Copyright (C) 2023 Free Software Foundation
   3 #
   4 # This program is free software: you can redistribute it and/or modify
   5 # it under the terms of the GNU Affero General Public License as published
   6 # by the Free Software Foundation, either version 3 of the License, or
   7 # (at your option) any later version.
   8 #
   9 # This program is distributed in the hope that it will be useful,
  10 # but WITHOUT ANY WARRANTY; without even the implied warranty of
  11 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  12 # GNU Affero General Public License for more details.
  13 #
  14 # You should have received a copy of the GNU Affero General Public License
  15 # along with this program.  If not, see <https://www.gnu.org/licenses/>.
  16
  17 import logging
  18
  19 from urllib.parse import urlparse
  20
  21 import bs4
  22 import reqto
  23
  24 from fba.helpers import config
  25 from fba.helpers import cookies
  26 from fba.helpers import domain as domain_helper
  27
  28 from fba.http import network
  29
  30 from fba.models import instances
  31
  32 logging.basicConfig(level=logging.INFO)
  33 logger = logging.getLogger(__name__)
  34
  35 def determine(domain: str, headers: dict) -> dict:
  36     logger.debug("domain='%s',headers()=%d - CALLED!", domain, len(headers))
  37     domain_helper.raise_on(domain)
  38
  39     if not isinstance(headers, dict):
  40         raise ValueError(f"Parameter headers[]='{type(headers)}' is not 'dict'")
  41
  42     # Default headers with no CSRF
  43     reqheaders = headers
  44
  45     # Fetch / to check for meta tag indicating csrf
  46     logger.debug("Fetching / from domain='%s' for CSRF check ...", domain)
  47     response = reqto.get(
  48         f"https://{domain}/",
  49         headers=network.web_headers,
  50         timeout=(config.get("connection_timeout"), config.get("read_timeout"))
  51     )
  52     components = urlparse(response.url)
  53
  54     logger.debug("response.ok='%s',response.status_code=%d,response.text()=%d", response.ok, response.status_code, len(response.text))
  55     if response.ok and response.status_code < 300 and response.text.strip() != "" and response.text.find("<html") > 0 and domain == components.netloc:
  56         # Save cookies
  57         logger.debug("Parsing response.text()=%d Bytes ...", len(response.text))
  58         cookies.store(domain, response.cookies.get_dict())
  59
  60         # Parse text
  61         meta = bs4.BeautifulSoup(
  62             response.text,
  63             "html.parser"
  64         )
  65         logger.debug("meta[]='%s'", type(meta))
  66         tag = meta.find("meta", attrs={"name": "csrf-token"})
  67
  68         logger.debug("tag[%s]='%s'", type(tag), tag)
  69         if tag is not None:
  70             logger.debug("Adding CSRF token='%s' for domain='%s'", tag["content"], domain)
  71             reqheaders["X-CSRF-Token"] = tag["content"]
  72     elif domain != components.netloc:
  73         logger.warning("domain='%s' doesn't match components.netloc='%s', maybe redirect to other domain?", domain, components.netloc)
  74         instances.set_last_error(domain, f"Redirect from domain='{domain}' to components.netloc='{components.netloc}'")
  75
  76     logger.debug("reqheaders()=%d - EXIT!", len(reqheaders))
  77     return reqheaders