Q&A
手元の環境では正常処理と出ます。
Windows XAMPP
PHP7.3
環境情報一通りご提示いただけますか?
session_save_path も気にはなります。
前にも質問したのですが解決しないので再質問します。
session1.php
php
1<?php 2session_start(); 3//安全安心なトークンを作成(32桁数) 4$TOKEN_LENGTH = 16; 5$tokenByte = openssl_random_pseudo_bytes($TOKEN_LENGTH); 6$csrfToken = bin2hex($tokenByte); 7 8//セッションに設定 9$_SESSION['csrfToken'] = $csrfToken; 10?> 11<html> 12 13<body> 14 <form method="post" action="session2.php"> 15 //formのhidden値に設定 16 <input type='text' name='csrfToken' value='<?=$csrfToken?>'> 17 <input type="submit"> 18 </form> 19</body> 20 21</html> 22
session2.php
php
1<?php 2session_start(); 3if (!empty($_POST['csrfToken'])){ 4 if(!empty($_SESSION['csrfToken'])){ 5 echo $_POST['csrfToken'] . "<br>"; 6 echo $_SESSION['csrfToken'] . "<br>"; 7if ($_POST['csrfToken'] === $_SESSION['csrfToken']) { 8 echo "正常処理"; 9} else { 10 echo "CSRF攻撃が発生"; 11} 12}else{ 13 echo "session"; 14 } 15}else{ 16 echo "post"; 17}
出力結果
一例
022b9938a6b413e48fd43cd360252a7f 8e8f48e274e487382d25d15c8b7771bd CSRF攻撃が発生
この例だと前のページで022b9938a6b413e48fd43cd360252a7fと表示されているので、
おそらくsessionの受け渡しができていないのかと思います。
解決策を教えてください。
回答1件
0
ベストアンサー
session2.php の結果が「一例」の通りとなっているのであれば、どこかで意図しない $_SESSION['csrfToken'] = $csrfToken; が動作している可能性があります。
アクセスログを確認して、多重アクセスが無いか確認して下さい。
ここの質問でブラウザの拡張機能が悪さしてたケースを見かけた気がします。
投稿2019/06/07 14:10
退会済みユーザー
総合スコア0
どのように確認すればよいのでしょうか?
どのようにでも。
ありがとうございます!htmlチェッカーが悪さしてました。
可能であれば、その html チェッカーの正式名称か配布 URL を教えていただけますか?
HTMLエラーチェッカー
です
こちらでしょうか?
https://chrome.google.com/webstore/detail/html%E3%82%A8%E3%83%A9%E3%83%BC%E3%83%81%E3%82%A7%E3%83%83%E3%82%AB%E3%83%BC/ohdllebchmmponnofchalfkegpjojcaf?hl=ja
一応、注意書きとして「※formがあるページで挙動がおかしくなる場合は、一時的にオフにしてください。」とありますが、気が付きにくそうですね^^;
コメントありがとうございました。
こちらこそありがとうございました
あなたの回答
tips
プレビュー
