質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.51%

  • PHP

    20408questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • セキュリティー

    465questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

【PHP】CSRF対策について

解決済

回答 1

投稿

  • 評価
  • クリップ 2
  • VIEW 529

lo_goth

score 1

①お問い合わせフォームのCSRF対策をしようと思います。以下の通りプログラムを作っています。
どの画面でどの処理をやるか不明なのですが、index.phpでtokenを取得し、遷移先のconfirm.phpでtokenのチェックという流れでよいでしょうか。

index.php(お問い合わせフォーム/入力画面)→confirm.php(確認、送信画面)

以下を参考にしました。
https://qiita.com/mpyw/items/8f8989f8575159ce95fc

②CSRF対策を実装をしたあと、実装内容が問題ないことを確認したいと思っています。
CSRFを発生させる方法を教えていただけますでしょうか。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • mts10806

    2018/05/30 14:20

    やってみたこと(そのソースコード)を具体的に追記してください。また参考先サイトがあればURLも質問に追記してください。既に見た先が回答についてしまうと無駄なやり取りが発生しますし、もしかしたら参考記事の理解が間違っているために解決に至れていないのかもしれません。https://teratail.com/help/question-tips#questionTips1-2

    キャンセル

回答 1

checkベストアンサー

+1

①お問い合わせフォームのCSRF対策をしようと思います。以下の通りプログラムを作っています。
どの画面でどの処理をやるか不明なのですが、index.phpでtokenを取得し、遷移先のconfirm.phpでtokenのチェックという流れでよいでしょうか。

index.php(お問い合わせフォーム/入力画面)→confirm.php(確認、送信画面)

confirm.php が表示段階ではまだ送信処理を行わないのであれば、token の取得は送信画面を表示するときに付与する必要があります。そして、確認ボタンを押したときにそれを受け付けて実際に送信処理を実行するプログラム(通常は confirm.php のPOSTメソッド)でチェックします。

参考: https://teratail.com/questions/108091

②CSRF対策を実装をしたあと、実装内容が問題ないことを確認したいと思っています。
CSRFを発生させる方法を教えていただけますでしょうか。

確認ボタンを押したときに送られるHTTPリクエストを別のURLを持つWebアプリから送信してテストします。
確認が form で実装されているならばそのform の action 属性に攻撃対象のサーバのURLを入れて攻撃用サーバに置きます。それで、以下の手順でテストします。

  1. 攻撃対象サーバにログイン
  2. 攻撃用サーバのHTMLを開き、 form を submit(確認ボタンを押す)

送信処理が行われずにエラーになればOKです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/06/28 19:03

    ありがとうございます。
    内容確認の上やってみます。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.51%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

  • 解決済

    CSRFとはなんですか?

    PHP初心者です。 CSRFという用語がでてきました。 CSRFというのはいったいどのようなものなのでしょうか? わかる方、詳しく教えていただけないでしょうか?

  • 受付中

    Laravelで、4040エラー時にログインが失敗する

    Laravel5.2を使用しています。 こちらで、ログイン機能を実装しましたが、404ページからのログイン処理時にエラーになります。 ログインをモーダルウィンドウで実装しており

  • 受付中

    スマホ ajax時のheader指定

    お世話になります。 Laravel5.1で開発を行なっている者です。 ここの内容を参考にCSRF対策を実装したのですが、スマホのajax時に「X-Csrf-Token」

  • 受付中

    FuelPHPでCSRFトークンを複数フォームで扱いたい

    FuelPHPで、フォームの入力画面から確認画面への処理の間に、 CSRFトークンつかってバリデーションをしています。 // View内のform内へ設置 <?= Form

  • 受付中

    javascript,submit時のブラウザエラー

    javascriptでのフォーム値の送信の際に以下のようなエラーが、 ブラウザに表示されます。 解決方法がわかりません。 An Error Was Encountered

  • 解決済

    【PHP】CSRF対策を施す(トークンを埋め込む)場所について

    練習用に書籍を管理するアプリケーションをPHP、MariaDBで作成しています。 CSRF対策を施す(トークンを埋め込む)場所についてアドバイスお願いします。 構成は下記。

  • 解決済

    PHP CSRF対策について

    初めまして。 現在PHPを勉強していて、クイズサイトを作成しています。 問題の編集画面にて、CSRFの対策を取ろうと思っているのですがうまくいきません。 <?php sess

  • 解決済

    Laravelでのフォーム作成

    お世話になってます。 今phpのlaravelでフォームを作成しています。 sumitボタンを押したら、入力内容を表示できるよう にしたいのですが、うまく表示できません。 お分かり

同じタグがついた質問を見る

  • PHP

    20408questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • セキュリティー

    465questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。