CAKEPHP3.6フォーム送信時　CSRF token mismatchエラー発生

前提・実現したいこと

参考書でPHP(CakePhp)の勉強をしております。初心者で恐れ入りますがよろしくお願いいたします。
index.ctfビューテンプレートのフォームから値を取得してform.ctfビューテンプレートに表示したいのですが、
index.ctfビューテンプレートよりコントローラのformアクションに送信するとエラーが発生します。

エラーメッセージ
CSRF token mismatch.
Cake\Http\Exception\InvalidCsrfTokenException

該当のソースコード（抜粋）

〇index.ctf
<body>
<header class="row">
<h1><?=$title ?></h1>
</header>
<div class="row">
<table>
<form method="post" action="/mycakeapp/hello/form">
<tr><th>name</th><td>
<input type="text" name="name"></td></tr>
<tr><th>mail</th><td>
<input type="text" name="mail"></td></tr>
<tr><th>age</th><td>
<input type="number" name="age"></td></tr>
<tr><th></th><td><button>
Click</button></td></tr>
</form>
</table>
</div>
</body>

〇form.ctf
<body>
<header class="row">
<h1><?=$title ?></h1>
</header>
<div class="row">
<p><?=$message ?></p>
</div>
</body>

〇HelloController
class HelloController extends AppController {
public function index() {
$this->viewBuilder()->autoLayout(false);
$this->set('title','Hello!');
}
public function form()
{
$this->viewBuilder()->autoLayout(false);
$name = $this->request->data['name'];
$mail = $this->request->data['mail'];
$age = $this->request->data['age'];
$res = 'こんにちは、 ' . $name . '（' . $age .
'）さん。メールアドレスは、' . $mail . ' ですね？';
$values = [
'title'=>'Result',
'message'=> $res
];
$this->set($values);
}
}

行動規範の内容に同意します

回答2件

ベストアンサー

CSRF機能が有効になっているのに、FormHelperを使用してフォームを開始していないことが原因です。
参考：https://book.cakephp.org/3.0/ja/controllers/middleware.html#csrf-middleware

CsrfProtectionMiddleware は、シームレスに FormHelper と統合されます。 FormHelper でフォームを作成するたびに、CSRF トークンを含む隠しフィールドを挿入します。

CSRF 保護を使用する場合は、常に FormHelper でフォームを開始する必要があります。そうしないと、各フォームに hidden 入力を手動で作成する必要があります。

エラーの回避のためにはFormHelperを使うのが一番だと思いますが、勉強中ということですので、CSRF対策を無効に変更するのもありだと思います。
※作成しているWebアプリケーションの内容にもよりますが、実際に公開する際は有効化した方がいいと思います。

src/Application.php　の中の public function middleware()の中に

            // Add csrf middleware.
            ->add(new CsrfProtectionMiddleware([
                'httpOnly' => false
            ]));

のような箇所があってここをコメントアウトしたら、こちらの環境では無効にできました。
※コメントアウトする場合は前のコードの末尾に「;」をつけたす必要もあります。
※こちらのcakephpは3.6です。3.5より前だとおそらく変わってきます。

投稿2018/08/01 03:00

tempakyousuke

総合スコア155

退会済みユーザー

2018/08/01 07:21

詳細なご回答ありがとうございます。問題が解決いたしました。また基本はFormHelperを使用してCSRF対策を有効ということ承知いたしました。重ねてお礼申し上げます。

行動規範の内容に同意します

ブラウザのキャッシュ・クッキーのクリアは試しました？

投稿2018/07/27 12:53

0hag1

総合スコア100

退会済みユーザー

2018/07/27 23:59

ご回答ありがとうございます。ブラウザのキャッシュ・クッキーのクリアをしても変わりありませんでした。また異なるブラウザchrome,edgeで試しても同じような状況です。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！