Q&A
やってみたこと(そのソースコード)を具体的に追記してください。また参考先サイトがあればURLも質問に追記してください。既に見た先が回答についてしまうと無駄なやり取りが発生しますし、もしかしたら参考記事の理解が間違っているために解決に至れていないのかもしれません。https://teratail.com/help/question-tips#questionTips1-2
①お問い合わせフォームのCSRF対策をしようと思います。以下の通りプログラムを作っています。
どの画面でどの処理をやるか不明なのですが、index.phpでtokenを取得し、遷移先のconfirm.phpでtokenのチェックという流れでよいでしょうか。
index.php(お問い合わせフォーム/入力画面)→confirm.php(確認、送信画面)
以下を参考にしました。
https://qiita.com/mpyw/items/8f8989f8575159ce95fc
②CSRF対策を実装をしたあと、実装内容が問題ないことを確認したいと思っています。
CSRFを発生させる方法を教えていただけますでしょうか。
回答1件
0
ベストアンサー
①お問い合わせフォームのCSRF対策をしようと思います。以下の通りプログラムを作っています。
どの画面でどの処理をやるか不明なのですが、index.phpでtokenを取得し、遷移先のconfirm.phpでtokenのチェックという流れでよいでしょうか。
index.php(お問い合わせフォーム/入力画面)→confirm.php(確認、送信画面)
confirm.php が表示段階ではまだ送信処理を行わないのであれば、token の取得は送信画面を表示するときに付与する必要があります。そして、確認ボタンを押したときにそれを受け付けて実際に送信処理を実行するプログラム(通常は confirm.php のPOSTメソッド)でチェックします。
参考: https://teratail.com/questions/108091
②CSRF対策を実装をしたあと、実装内容が問題ないことを確認したいと思っています。
CSRFを発生させる方法を教えていただけますでしょうか。
確認ボタンを押したときに送られるHTTPリクエストを別のURLを持つWebアプリから送信してテストします。
確認が form で実装されているならばそのform の action 属性に攻撃対象のサーバのURLを入れて攻撃用サーバに置きます。それで、以下の手順でテストします。
- 攻撃対象サーバにログイン
- 攻撃用サーバのHTMLを開き、 form を submit(確認ボタンを押す)
送信処理が行われずにエラーになればOKです。
投稿2018/05/31 12:16
総合スコア3401
あなたの回答
tips
プレビュー
