質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CakePHP

CakePHPは、PHPで書かれたWebアプリケーション開発用のフレームワークです。 Ruby on Railsの考え方を多く取り入れており、Railsの高速性とPHPの機動性を兼ね備えています。 MVCやORMなどを「規約優先の考え方」で利用するため、コードを書く手間を省くことができます。 外部のライブラリに依存しないので、単体での利用が可能です。

Q&A

解決済

1回答

1099閲覧

Cakephp3系でのAPI(提供側)の実装

kenkbou

総合スコア151

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CakePHP

CakePHPは、PHPで書かれたWebアプリケーション開発用のフレームワークです。 Ruby on Railsの考え方を多く取り入れており、Railsの高速性とPHPの機動性を兼ね備えています。 MVCやORMなどを「規約優先の考え方」で利用するため、コードを書く手間を省くことができます。 外部のライブラリに依存しないので、単体での利用が可能です。

0グッド

0クリップ

投稿2018/08/07 17:53

お世話になります。

CentOS7系
PHP7.2
MySQL5.7
Cakephp3.6.7

CakephpでAPIを作成しております。

例えば、ユーザーの登録をさせるAPIの場合、
ROOT/api/register をエンドポイントとして

ApiController.php ← 

PHP

1== 省略 == 2 /** 3 * User register 4 * 5 * @return $user 6 */ 7 public function register() 8 { 9 // Input : [POST] name, birthday, email, address, gender, password 10 // Output: (json) result for register 11 12 $this->autoRender = false; 13 14 $this->response->getType('application/json'); 15 $this->response->getCharset('UTF-8'); 16 17 if ($this->request->is('post')) { 18 try { 19 $user = $this->Users->newEntity(); 20 $user = $this->Users->patchEntity($user, $this->request->getData()); 21 if ($this->Users->save($user)) { 22 echo json_encode($user); 23 return; 24 } else { 25 $this->response->body(json_encode(false)); 26 return; 27 } 28 } catch (\PDOException $e) { 29 $this->response->body(json_encode(false)); 30 } 31 } 32 $this->response->body(json_encode(false)); 33 return; 34 35 } 36== 省略 ==

これのAPIをPostmanをとおして実行すると、ソースは関係なしに以下のViewがかえってきます。
5000行以上あるので、該当箇所のみ記載します。

PHP

1<h1 class="header-title"> 2Missing CSRF token cookie 3 <span class="header-type">Cake\Http\Exception\InvalidCsrfTokenException</span> 4</h1> 5<span class="stack-frame-file">WWW_ROOT/vendor/cakephp/cakephp/src/Http/Middleware/CsrfProtectionMiddleware.php</span>

『xsrf-token』をヘッダーなどい付与してもうまくいきませんでした。
別のバージョンのCakePHP3系では起こっていなかったのですが、どのように対応をして良いか分かりかねています。

Pご教示いただけると助かります、お願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2018/08/07 21:43

クロスサイトの実装でCSRF設定してれば当然なきがしないでもない
kenkbou

2018/08/08 00:03

ヘッダーや、ボディにトークンを埋め込んでいるのですが、、、何か良い方法があれば教えていただけると助かります、、、
guest

回答1

0

ベストアンサー

CakePHP 3.5.0 から CsrfProtectionMiddleware でCSRF対策がされています。X-CSRF-Tokenヘッダーに セッションに保存されている CSRF トークンを送信すれば回避できるはずです。

なお、外部向けのAPIであれば、そもそもCSRF対策自体を無効にするでもいいのかもしれません。

  • アプリケーション全体でCsrfProtectionMiddlewareを無効するなら、Application.phpのCsrfProtectionMiddlewareに関する記述を消せば可能です。

  • 一部のコントローラだけで無効化したければ、以下のstackoverflowが参考になると思います。

Cakephp 3.5.6 disable CSRF Middleware for controller

投稿2018/08/11 22:36

編集2018/08/11 22:43
popobot

総合スコア6586

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kenkbou

2018/08/12 00:02

ありがとうございます。外部から実行するものを開発しており、私も同じ記事にたどり着いたのですが、部分的にCSRF対策を無効に出来ずに全体を無効にしました。
popobot

2018/08/12 09:12

そうですか... なんでしょう。自分は、Conditionally apply the middleware manuallyとなっている方の実装は、試したことがあり、うまく部分的な無効ができました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問