Q&A
トークンを埋め込む際、一度サーバと通信を行いますが、このトークンの埋め込み方の質問をさせていただきます。
よく見かける方法は、サーバ側でトークンを埋め込んだhtmlを生成し送信するか、クッキーにトークンを着けて送信するものですが、これってpostの際、他のリクエストするコンテンツと一緒に送付してはいけないのでしょうか?
なかなか見かける実装ではないので質問させていただきました。
追記
内容不足だったため追記させていただきます。
ここでのトークンとはcsrf対策等に使われるランダムな文字列でして、サーバで生成し、セッション等に格納後一致する値か確認を取るとゆうものです
実装方法については以下のような実装になります
トークンをページロード時に読み込んでおき、javascript変数token(仮)に保持しておきます(キャッシュによる保存はしません)
form等の変数によりpostする際、
var data={'token':token(仮),'postdata':hoge}
とし、これらの値をjsonで送付するような実装です
後は同じようにトークンを格納し、サーバでの情報で処理をします
このような送付方法はあまり見ないので皆さんにご質問してみました。
回答4件
0
よく見かける方法は、サーバ側でトークンを埋め込んだhtmlを生成し送信するか、クッキーにトークンを着けて送信するものですが、これってpostの際、他のリクエストするコンテンツと一緒に送付してはいけないのでしょうか?
「サーバ側でトークンを埋め込んだhtmlを生成」するのは、「postの際、他のリクエストするコンテンツと一緒に送付」するための手段だと思います。
HTML
1<form action="...." method="POST"> 2<input type="text" name="hoge"> 3<input type="hidden" name="token" value="f49b1a493d..."> 4</form>
例えば、上記のHTMLですと、hogeという値とtokenを「一緒に送付」することになります。
投稿2017/12/12 03:39
総合スコア11701
0
よく見かける方法は、サーバ側でトークンを埋め込んだhtmlを生成し送信するか、クッキーにトークンを着けて送信するものですが、これってpostの際、他のリクエストするコンテンツと一緒に送付してはいけないのでしょうか?
トークンと言うのが何を意味しているのか不明ですが、(1) フォーム認証用の認証チケット、(2) セッション ID、(3) ステートを保つための情報などを意味しているのでしょうか?
処理系によっていろいろやり方が違うと思いますが、例えば ASP.NET の場合、(1) と (2) はクッキーで、(3) は隠しフィールド(input type="hidden")を使うのがデフォルトです。
なので (3) は「他のリクエストするコンテンツと一緒に送付」されます。
投稿2017/12/12 03:30
退会済みユーザー
総合スコア0
0
別に構わないですよ。
サーバ側でトークンを埋め込んだhtmlを生成し
っていうのの意味がよくわからないですが。
投稿2017/12/12 03:26
退会済みユーザー
総合スコア0
0
すみません、質問の意図がわかりません。
「postの際、(クライアントからサーバへ)他のリクエストするコンテンツと一緒に送付」するために、事前に「サーバ側でトークンを埋め込んだhtmlを生成し送信する」なり「(サーバからクライアントへ)クッキーにトークンを着けて送信する」なりを行っています。
サーバサイドで生成するトークンは、送ってもらわなければクライアント側で知る余地もありません。
投稿2017/12/12 03:24
総合スコア145183
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。