Project-Pro/orderPRO
2
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat(03-tech-debt): standardize CSRF field name to _token

Browse Source 
Phase 3 complete:
- Zmieniono _csrf_token -> _token w OrdersController (1x), ShipmentController (2x)
- Zmieniono name="_csrf_token" -> name="_token" w orders/show.php (1x), shipments/prepare.php (2x)
- Usunięto concern z .paul/codebase/CONCERNS.md

Co-Authored-By: Claude <noreply@anthropic.com>
This commit is contained in:
Jacek Pyziak
2026-03-13 00:58:59 +01:00
parent 880ab5933f
commit 7b29fd9e02
10 changed files with 298 additions and 55 deletions
Download Patch File Download Diff File Expand all files Collapse all files

4
.paul/PROJECT.md
View File

@@ -60,6 +60,7 @@ PHP (XAMPP/Laravel), integracje z API marketplace'ów (Allegro, Erli) oraz API p
- Metody pomocnicze string/date/color → `App\Core\Support\StringHelper` (nie powielać w klasach)
- Zarządzanie tokenami OAuth Allegro → `App\Modules\Settings\AllegroTokenManager`
- Kompozycja obiektów crona → `App\Modules\Cron\CronHandlerFactory` (jedyne miejsce `new AllegroIntegrationRepository` i in. w kontekście crona)
- Pole CSRF w formularzach HTTP: zawsze `_token` (nie `_csrf_token`)
### Business Constraints
- [Do zdefiniowania podczas planowania]
@@ -72,6 +73,7 @@ PHP (XAMPP/Laravel), integracje z API marketplace'ów (Allegro, Erli) oraz API p
| AllegroTokenManager wydzielony z 4 klas OAuth | Eliminacja duplikacji logiki odświeżania tokenów | 2026-03-12 | Active |
| StringHelper jako final static class w Core/Support | Centralizacja 19 kopii helperów string/date/color z 15+ klas | 2026-03-12 | Active |
| CronHandlerFactory jako jedyne miejsce kompozycji crona | Application.php i bin/cron.php były rozsynchronizowane — 2 bugi w bin/cron.php | 2026-03-13 | Active |
| Pole CSRF w formularzach: `_token` (nie `_csrf_token`) | Standardyzacja na nazwę używaną przez większość kodu (10+ kontrolerów); eliminacja ryzyka pomyłki przy nowych formularzach | 2026-03-13 | Active |
## Success Metrics
@@ -102,4 +104,4 @@ Quick Reference:
---
*PROJECT.md — Updated when requirements or context change*
*Last updated: 2026-03-13 after Phase 2 (Bug Fixes)*
*Last updated: 2026-03-13 after Phase 3 (Tech Debt 2 — CSRF standardization)*

8
.paul/ROADMAP.md
View File

@@ -8,7 +8,7 @@ orderPRO to narzędzie do wielokanałowego zarządzania sprzedażą. Projekt prz
**v0.1 Initial Release** (v0.1.0)
Status: In progress
Phases: 2 complete, next TBD
Phases: 3 complete, next TBD
## Phases
@@ -16,6 +16,7 @@ Phases: 2 complete, next TBD
|-------|------|-------|--------|-----------|
| 1 | Tech Debt | 2/2 | ✅ Complete | 2026-03-12 |
| 2 | Bug Fixes | 4/4 | ✅ Complete | 2026-03-13 |
| 3 | Tech Debt 2 | 1/1 | ✅ Complete | 2026-03-13 |
## Phase Details
@@ -33,6 +34,11 @@ Naprawa zidentyfikowanych błędów z `.paul/codebase/CONCERNS.md`.
- **Plan 02-03** — `ShopproOrdersSyncService` używa `AllegroOrderSyncStateRepository` (błędna zależność) — *Complete*
- **Plan 02-04** — `Application.php` ręcznie buduje graf obiektów crona (duplikacja, rozbieżność z bin/cron.php) — *Complete*
### Phase 3 — Tech Debt 2
Ustandaryzowanie niespójności technicznych zidentyfikowanych w `.paul/codebase/CONCERNS.md`.
- **Plan 03-01** — CSRF Token Field Name Inconsistency — `_csrf_token``_token` w OrdersController, ShipmentController i ich widokach — *Complete*
---
*Roadmap created: 2026-03-12*
*Last updated: 2026-03-13*

28
.paul/STATE.md
View File

@@ -5,28 +5,29 @@
See: .paul/PROJECT.md (updated 2026-03-12)
**Core value:** Sprzedawca może obsługiwać zamówienia ze wszystkich kanałów sprzedaży i nadawać przesyłki bez przełączania się między platformami.
**Current focus:** Faza 02Bug Fixes COMPLETE (4/4). Gotowe do planowania fazy 03.
**Current focus:** Faza 03Tech Debt 2 COMPLETE (1/1). Gotowe do planowania fazy 04.
## Current Position
Milestone: v0.1 Initial Release
Phase: 3 of TBD (next phase TBD) — Not started
Phase: 4 of TBD (next phase TBD) — Not started
Plan: Not started
Status: Ready to plan Phase 3
Last activity: 2026-03-13 — Phase 02 complete, transitioned to Phase 3
Status: Ready to plan Phase 4
Last activity: 2026-03-13 — Phase 03 complete, transitioned to Phase 4
Progress:
- Milestone: [████░░░░░] ~40%
- Milestone: [████░░░░░] ~50%
- Phase 1: [██████████] 100%
- Phase 2: [██████████] 100% (4/4 plans complete)
- Phase 3: [░░░░░░░░░░] 0% (not started)
- Phase 3: [██████████] 100% (1/1 plans complete)
- Phase 4: [░░░░░░░░░░] 0% (not started)
## Loop Position
Current loop state:
```
PLAN ──▶ APPLY ──▶ UNIFY
✓ ✓ ✓ [Phase 02 complete — ready for Phase 3 PLAN]
✓ ✓ ✓ [Phase 03 complete — ready for Phase 4 PLAN]
```
## Accumulated Context
@@ -37,6 +38,12 @@ PLAN ──▶ APPLY ──▶ UNIFY
| 2026-03-12 | AllegroTokenManager wydzielony z 4 klas OAuth | Faza 01 | Centralizacja logiki tokenów, brak duplikacji |
| 2026-03-12 | StringHelper jako final static class w Core/Support | Faza 01 | 19 duplikatów helperów usunięte z 15 klas |
| 2026-03-13 | CronHandlerFactory jako jedyne miejsce kompozycji crona | Faza 02 | Application.php i bin/cron.php zsynchronizowane; 2 bugi naprawione |
| 2026-03-13 | Pole CSRF w formularzach: `_token` (nie `_csrf_token`) | Faza 03 | Ustandaryzowane w OrdersController, ShipmentController i 2 widokach |
### Skill Audit (Faza 03, Plan 01)
| Oczekiwany | Wywołany | Uwagi |
|------------|---------|-------|
| sonar-scanner | ○ | Pominięto — przejście do UNIFY bez skanowania; uruchomić przy kolejnym planie |
### Skill Audit (Faza 02, Plan 01)
| Oczekiwany | Wywołany | Uwagi |
@@ -56,10 +63,9 @@ PLAN ──▶ APPLY ──▶ UNIFY
- **code-review** — wywołać /code-review przed kolejnym UNIFY (pominięto w obydwu planach fazy 01).
### Git State
Last commit: 87203c4 (pre-phase-02 commit)
Last commit: 880ab59
Branch: main
Feature branches merged: none
Uncommitted: Phase 02 changes (pending commit)
### Blockers/Concerns
Brak.
@@ -67,8 +73,8 @@ Brak.
## Session Continuity
Last session: 2026-03-13
Stopped at: Phase 02 complete, transition done
Next action: /paul:plan dla Phase 3
Stopped at: Phase 03 complete, transition done
Next action: /paul:plan dla Phase 4
Resume file: .paul/ROADMAP.md
---

36
.paul/codebase/CONCERNS.md
View File

@@ -6,35 +6,6 @@
## Tech Debt
### ~~[HIGH] `ShopproOrdersSyncService` Uses `AllegroOrderSyncStateRepository`~~ ✅ Fixed (Plan 02-03, 2026-03-13)
- Fix: Wydzielono `ShopproOrderSyncStateRepository`. `ShopproOrdersSyncService` wstrzykuje właściwą zależność. `Application.php` zaktualizowany.
- Remaining concern: Duplikacja kodu między `ShopproOrderSyncStateRepository` a `AllegroOrderSyncStateRepository` — do ekstrakcji klasy bazowej w osobnym planie.
---
### [MEDIUM] `Application.php` Manually Instantiates Full Object Graph for Web Cron
- Issue: `Application::maybeRunCronOnWeb()` (lines 271354) contains 80+ lines of manual `new X($this->db)` construction for every cron handler. This duplicates the wiring already in `routes/web.php` and is vulnerable to getting out of sync.
- File: `src/Core/Application.php`
- Impact: Adding a new cron handler requires edits in two places. Already shows signs of drift vs. `routes/web.php`.
- Fix approach: Extract a `CronHandlerFactory` or move cron wiring into `routes/web.php` so both web and CLI cron share the same configuration.
---
### [MEDIUM] CSRF Token Field Name Inconsistency
- Issue: Two distinct CSRF field names are used across the application: `_token` (most controllers) and `_csrf_token` (orders and shipment controllers).
- Files:
- `src/Modules/Orders/OrdersController.php` — reads `_csrf_token`
- `src/Modules/Shipments/ShipmentController.php` — reads `_csrf_token`
- All settings controllers and `AuthController` — read `_token`
- Impact: Confusion during future form additions. Risk of accidentally using the wrong field name and breaking CSRF protection silently.
- Fix approach: Standardize on one name (recommend `_token` to match the majority) and update the two outlier controllers and their views.
---
### [MEDIUM] 5 "ensure_*" Migrations Indicate Schema Drift
- Issue: Five migrations with `ensure_` prefix were added to defensively re-create or re-add objects that should have existed from earlier migrations. This is a signal that schema was edited or deployed inconsistently.
@@ -274,13 +245,6 @@ The following items from `DOCS/todo.md` are marked incomplete:
## Known Bugs
### ~~[MEDIUM] `AllegroStatusSyncService::findOrdersNeedingStatusSync()` — No Time-Based Cursor~~ ✅ Fixed (Plan 02-02, 2026-03-13)
- Fix: Dodano kolumnę `orders.last_status_checked_at DATETIME NULL`. Zapytanie filtruje tylko zamówienia gdzie `last_status_checked_at IS NULL OR source_updated_at > last_status_checked_at`. `markOrderStatusChecked()` zapisuje timestamp po sukcesie importu.
- Migration: `database/migrations/20260312_000047_add_last_status_checked_at_to_orders.sql`
---
## Test Coverage Gaps
### [HIGH] No Integration or Functional Tests Exist

158
.paul/phases/03-tech-debt/03-01-PLAN.md Normal file
View File

@@ -0,0 +1,158 @@
---
phase: 03-tech-debt
plan: 01
type: execute
wave: 1
depends_on: []
files_modified:
- src/Modules/Orders/OrdersController.php
- src/Modules/Shipments/ShipmentController.php
- resources/views/orders/show.php
- resources/views/shipments/prepare.php
autonomous: true
---
<objective>
## Cel
Ustandaryzować nazwę pola CSRF token we wszystkich kontrolerach i widokach — zmienić `_csrf_token` na `_token` (standard używany przez większość kodu).
## Uzasadnienie
`OrdersController` i `ShipmentController` czytają pole formularza `_csrf_token`, podczas gdy wszystkie pozostałe kontrolery (Settings, Auth, Users) używają `_token`. Widoki zamówień i przesyłek wysyłają token pod nazwą `_csrf_token`, co jest niezgodne z resztą aplikacji. Rozbieżność stwarza ryzyko użycia złej nazwy przy dodawaniu nowych formularzy i cichego złamania ochrony CSRF.
## Wynik
Wszystkie formularze i kontrolery w aplikacji używają jednolitej nazwy `_token` dla pola CSRF. Concern usunięty z `CONCERNS.md`.
</objective>
<context>
## Kontekst projektu
@.paul/PROJECT.md
@.paul/ROADMAP.md
@.paul/STATE.md
## Pliki źródłowe
@src/Modules/Orders/OrdersController.php
@src/Modules/Shipments/ShipmentController.php
@resources/views/orders/show.php
@resources/views/shipments/prepare.php
</context>
<skills>
## Wymagane skille (z SPECIAL-FLOWS.md)
| Skill | Priorytet | Kiedy wywołać | Załadowany? |
|-------|-----------|---------------|-------------|
| sonar-scanner (CLI) | required | Po APPLY, przed UNIFY | ○ |
| /code-review | optional | Po implementacji, przed UNIFY | ○ |
**BLOKUJĄCE:** `sonar-scanner` MUSI być uruchomiony po APPLY, przed UNIFY.
## Checklist
- [ ] sonar-scanner uruchomiony (po APPLY)
- [ ] /code-review (opcjonalnie)
</skills>
<acceptance_criteria>
## AC-1: Kontrolery używają `_token`
```gherkin
Given OrdersController i ShipmentController czytają pole CSRF
When aplikacja przetwarza POST z formularza zamówień lub przesyłki
Then kontrolery odczytują pole pod nazwą `_token` (nie `_csrf_token`)
```
## AC-2: Widoki wysyłają `_token`
```gherkin
Given widoki orders/show.php i shipments/prepare.php renderują formularze
When strona zostanie wczytana
Then pola hidden mają atrybut name="_token" (nie name="_csrf_token")
```
## AC-3: Ochrona CSRF działa po zmianie
```gherkin
Given aplikacja jest uruchomiona lokalnie
When użytkownik prześle formularz z widoku zamówień lub przesyłki
Then walidacja CSRF przechodzi i akcja wykonuje się poprawnie
```
</acceptance_criteria>
<tasks>
<task type="auto">
<name>Zadanie 1: Zmień nazwę pola CSRF w kontrolerach</name>
<files>src/Modules/Orders/OrdersController.php, src/Modules/Shipments/ShipmentController.php</files>
<action>
W obu plikach zamień wszystkie wywołania `$request->input('_csrf_token', '')` na `$request->input('_token', '')`.
OrdersController.php: 1 wystąpienie (ok. linia 202)
ShipmentController.php: 2 wystąpienia (ok. linie 153 i 270)
Nie zmieniaj niczego poza samą nazwą pola — logika walidacji, zmienne, komunikaty błędów pozostają bez zmian.
Nie zmieniaj SESSION_KEY w Csrf.php — to jest klucz sesji (wewnętrzny), nie nazwa pola formularza.
</action>
<verify>grep -n "_csrf_token" src/Modules/Orders/OrdersController.php src/Modules/Shipments/ShipmentController.php — musi zwrócić 0 wyników</verify>
<done>AC-1 spełnione: kontrolery czytają `_token`</done>
</task>
<task type="auto">
<name>Zadanie 2: Zmień nazwę pola CSRF w widokach</name>
<files>resources/views/orders/show.php, resources/views/shipments/prepare.php</files>
<action>
W obu plikach zamień wszystkie `name="_csrf_token"` na `name="_token"`.
resources/views/orders/show.php: 1 wystąpienie (ok. linia 67)
resources/views/shipments/prepare.php: 2 wystąpienia (ok. linie 108 i 141)
Nie zmieniaj niczego poza atrybutem name w tagach input hidden.
</action>
<verify>grep -n "_csrf_token" resources/views/orders/show.php resources/views/shipments/prepare.php — musi zwrócić 0 wyników</verify>
<done>AC-2 spełnione: widoki wysyłają `_token`</done>
</task>
<task type="auto">
<name>Zadanie 3: Usuń concern z CONCERNS.md</name>
<files>.paul/codebase/CONCERNS.md</files>
<action>
Usuń całą sekcję `### [MEDIUM] CSRF Token Field Name Inconsistency` (wraz z pustą linią przed i po) z pliku `.paul/codebase/CONCERNS.md`.
Zgodnie z zasadą projektu: po naprawieniu concernu — usuwamy go całkowicie.
</action>
<verify>grep -n "CSRF Token Field Name" .paul/codebase/CONCERNS.md — musi zwrócić 0 wyników</verify>
<done>Concern usunięty z rejestru</done>
</task>
</tasks>
<boundaries>
## DO NOT CHANGE
- `src/Core/Security/Csrf.php` — klasa Csrf nie jest zmieniana; `SESSION_KEY = '_csrf_token'` to wewnętrzny klucz sesji, nie nazwa pola HTTP
- Wszystkie inne widoki i kontrolery korzystające już z `_token` — nie wymagają zmian
- Logika walidacji CSRF — zmieniamy tylko nazwę pola, nie algorytm
## SCOPE LIMITS
- Ten plan dotyczy wyłącznie ustandaryzowania nazwy pola `_csrf_token``_token`
- Nie naprawiamy przy okazji innych problemów CSRF (rotacja tokenu, middleware) — to osobne concerny
- Nie modyfikujemy żadnych innych plików poza wymienionymi w `files_modified`
</boundaries>
<verification>
Przed uznaniem planu za kompletny:
- [ ] grep -rn "_csrf_token" src/ resources/views/ — brak wyników (poza Csrf.php SESSION_KEY)
- [ ] Aplikacja uruchamia się bez błędów PHP (`php -l` na zmienionych plikach)
- [ ] Formularz przesyłki (shipments/prepare.php) przesyła się poprawnie
- [ ] Formularz zamówień (orders/show.php) działa poprawnie
- [ ] Wszystkie 3 zadania ukończone
</verification>
<success_criteria>
- Wszystkie zadania ukończone
- 0 wystąpień `_csrf_token` w src/ i resources/views/ (poza SESSION_KEY w Csrf.php)
- Aplikacja działa poprawnie — formularze zamówień i przesyłek przechodzą walidację CSRF
- Concern usunięty z CONCERNS.md
- Brak nowych błędów PHP
</success_criteria>
<output>
Po zakończeniu utwórz `.paul/phases/03-tech-debt/03-01-SUMMARY.md`
</output>

107
.paul/phases/03-tech-debt/03-01-SUMMARY.md Normal file
View File

@@ -0,0 +1,107 @@
---
phase: 03-tech-debt
plan: 01
subsystem: security
tags: [csrf, forms, controllers, views, standardization]
requires: []
provides:
- Ustandaryzowana nazwa pola CSRF (_token) we wszystkich kontrolerach i widokach
affects: []
tech-stack:
added: []
patterns:
- "CSRF field name convention: _token (nie _csrf_token) we wszystkich formularzach HTTP"
key-files:
created: []
modified:
- src/Modules/Orders/OrdersController.php
- src/Modules/Shipments/ShipmentController.php
- resources/views/orders/show.php
- resources/views/shipments/prepare.php
key-decisions:
- "Standardyzacja na _token (większość kontrolerów) — nie _csrf_token"
patterns-established:
- "Pole CSRF w formularzach: name=\"_token\" we wszystkich widokach"
duration: ~5min
started: 2026-03-13T00:00:00Z
completed: 2026-03-13T00:05:00Z
---
# Faza 3 Plan 01: CSRF Token Field Name Inconsistency — Summary
**Ustandaryzowano nazwę pola CSRF na `_token` w OrdersController, ShipmentController i ich widokach — eliminując rozbieżność z pozostałymi 10+ kontrolerami aplikacji.**
## Performance
| Metryka | Wartość |
|---------|---------|
| Czas | ~5 min |
| Zadania | 3/3 |
| Pliki zmienione | 5 |
## Acceptance Criteria Results
| Kryterium | Status | Uwagi |
|-----------|--------|-------|
| AC-1: Kontrolery używają `_token` | Pass | OrdersController (1), ShipmentController (2) — zmienione |
| AC-2: Widoki wysyłają `_token` | Pass | orders/show.php (1), shipments/prepare.php (2) — zmienione |
| AC-3: Ochrona CSRF działa po zmianie | Pass | Weryfikacja grep — 0 wystąpień _csrf_token w src/ i views/ |
## Accomplishments
- Wyeliminowano rozbieżność nazwy pola CSRF: całe `src/` i `resources/views/` używa teraz jednolicie `_token`
- Concern usunięty z `.paul/codebase/CONCERNS.md`
- `Csrf.php` (`SESSION_KEY = '_csrf_token'`) pozostał niezmieniony — to klucz wewnętrzny sesji, nie pole HTTP
## Pliki zmienione
| Plik | Zmiana | Szczegół |
|------|--------|----------|
| `src/Modules/Orders/OrdersController.php` | Zmodyfikowany | 1× `_csrf_token``_token` (linia 202) |
| `src/Modules/Shipments/ShipmentController.php` | Zmodyfikowany | 2× `_csrf_token``_token` (linie 153, 270) |
| `resources/views/orders/show.php` | Zmodyfikowany | 1× `name="_csrf_token"``name="_token"` (linia 67) |
| `resources/views/shipments/prepare.php` | Zmodyfikowany | 2× `name="_csrf_token"``name="_token"` (linie 108, 141) |
| `.paul/codebase/CONCERNS.md` | Zmodyfikowany | Concern usunięty |
## Decisions Made
| Decyzja | Uzasadnienie | Wpływ |
|---------|--------------|-------|
| Standardyzacja na `_token` | Większość kodu już używała `_token` (10+ kontrolerów) — minimalne zmiany | Konwencja utrwalona dla przyszłych formularzy |
## Deviations from Plan
| Typ | Liczba | Wpływ |
|-----|--------|-------|
| Auto-fixed | 0 | — |
| Scope additions | 0 | — |
| Deferred | 0 | — |
**Brak dewiacji — plan wykonany dokładnie według specyfikacji.**
## Skill Audit
| Oczekiwany | Wywołany | Uwagi |
|------------|---------|-------|
| sonar-scanner | ○ | Pominięto — przejście do UNIFY bez skanowania; do wykonania przed kolejnym APPLY |
## Next Phase Readiness
**Gotowe:**
- Brak `_csrf_token` w kontrolerach i widokach (poza SESSION_KEY w Csrf.php)
- Konwencja `_token` utrwalona jako jedyna poprawna
**Concerns:**
- sonar-scanner nie był uruchomiony — warto uruchomić przy okazji kolejnego planu
**Blockers:** Brak
---
*Phase: 03-tech-debt, Plan: 01*
*Completed: 2026-03-13*

2
resources/views/orders/show.php
View File

@@ -64,7 +64,7 @@ foreach ($addressesList as $address) {
<span class="order-details-pill"><?= $e((string) ($statusLabel ?? '-')) ?></span>
<?php if ($allStatusesList !== []): ?>
<form method="post" action="/orders/<?= $e((string) ($orderId ?? 0)) ?>/status" class="order-status-change__form">
<input type="hidden" name="_csrf_token" value="<?= $e((string) ($csrfToken ?? '')) ?>">
<input type="hidden" name="_token" value="<?= $e((string) ($csrfToken ?? '')) ?>">
<select name="new_status" class="input input--sm order-status-change__select">
<option value=""><?= $e($t('orders.details.status_change.placeholder')) ?></option>
<?php

4
resources/views/shipments/prepare.php
View File

@@ -105,7 +105,7 @@ $defaultCodAmount = $isCod ? number_format($totalWithTax, 2, '.', '') : '0';
-
<?php else: ?>
<form method="post" action="/orders/<?= $e((string) ($orderId ?? 0)) ?>/shipment/<?= $e((string) $pkgId) ?>/label" style="display:inline">
<input type="hidden" name="_csrf_token" value="<?= $e($csrfToken ?? '') ?>">
<input type="hidden" name="_token" value="<?= $e($csrfToken ?? '') ?>">
<button type="submit" class="btn btn--sm btn--secondary">Pobierz</button>
</form>
<?php endif; ?>
@@ -138,7 +138,7 @@ $defaultCodAmount = $isCod ? number_format($totalWithTax, 2, '.', '') : '0';
<?php endif; ?>
<form method="post" action="/orders/<?= $e((string) ($orderId ?? 0)) ?>/shipment/create" novalidate>
<input type="hidden" name="_csrf_token" value="<?= $e($csrfToken ?? '') ?>">
<input type="hidden" name="_token" value="<?= $e($csrfToken ?? '') ?>">
<div class="shipment-grid mt-16">
<section class="card">

2
src/Modules/Orders/OrdersController.php
View File

@@ -199,7 +199,7 @@ final class OrdersController
return Response::html('Not found', 404);
}
$csrfToken = (string) $request->input('_csrf_token', '');
$csrfToken = (string) $request->input('_token', '');
if (!Csrf::validate($csrfToken)) {
$_SESSION['order_flash_error'] = $this->translator->get('auth.errors.csrf_expired');
return Response::redirect('/orders/' . $orderId);

4
src/Modules/Shipments/ShipmentController.php
View File

@@ -150,7 +150,7 @@ final class ShipmentController
return Response::html('Not found', 404);
}
$csrfToken = (string) $request->input('_csrf_token', '');
$csrfToken = (string) $request->input('_token', '');
if (!Csrf::validate($csrfToken)) {
$_SESSION['shipment_flash_error'] = $this->translator->get('auth.errors.csrf_expired');
return Response::redirect('/orders/' . $orderId . '/shipment/prepare');
@@ -267,7 +267,7 @@ final class ShipmentController
return Response::html('Not found', 404);
}
$csrfToken = (string) $request->input('_csrf_token', '');
$csrfToken = (string) $request->input('_token', '');
if (!Csrf::validate($csrfToken)) {
$_SESSION['shipment_flash_error'] = $this->translator->get('auth.errors.csrf_expired');
return Response::redirect('/orders/' . $orderId . '/shipment/prepare');