Q&A
回答ありがとうございます。
試してみましたが、form.htmlにいる状態でres.phpをURLを直打ちした場合ifを素通りしてしまうため、こちらの期待する動作をしませんでした。
前回の質問に少し関連するのですが
例えば
lang
1<!--form.html--> 2<form action="res.php" method="POST"> 3 <input type="text" name="mss"> 4 <input type="submit"> 5</form>
lang
1//res.php 2<?php 3 echo filter_input(INPUT_POST, 'mss'); 4?>
このような簡単なプログラムがあったとします。
res.phpは、form.htmlから遷移された時に正しい動作をしますので、res.phpへは直接URLを叩くなどしてアクセスされることは望みません。
このような時res.phpに直接アクセスされないようにするにはどうしたらよいでしょうか。
回答2件
0
ベストアンサー
「URLを叩かれた」場合だけ排除したいのであれば、リクエストがPOSTであるかどうかのチェックだけでOKです(GETならステータスコードで403でも返しておけばいいでしょう)。
不正なPOSTですが、特に「ログインクッキーを持ったままの状態で、攻撃者のサイトから意図しないPOSTを投げさせる」という攻撃手法があって、「CSRF」と呼ばれています。
不正なPOST対策としては、CSRF対策と同様になりますが、
- セッション内にユーザーごとの秘密の値(トークン)を持たせる
- フォーム表示時にそのトークンを埋め込んで、一緒にPOSTさせる
- POSTされた側でトークンが正しくなければ処理を打ち切る
というような流れになります。フレームワークを使っているなら、そちらでこのような対策を実施する手段がたいてい組み込まれています。
投稿2015/12/04 02:28
総合スコア145183
0
簡単な実装ですと、リファラーをマッチさせて、該当のHTML以外からのアクセスを弾く方法があると思います。
php
1$referer = $_SERVER["HTTP_REFERER"]; 2$url = 'アクセスを許可したいURL'; 3if(!strstr($referer,$url)){ 4 die("正規の画面からアクセスしてください"); 5 exit; 6}
もう少し高度に検証する場合は、JavaScriptを利用するなどして、HTML側に認証キーを埋め込んで、POSTで渡す方法などもあると思います。
投稿2015/12/04 02:23
総合スコア17
実際に書いたコードを掲載していただけませんか?
URL直打ちした場合は、リファラー変数は空なので、素通りしちゃうのは条件分岐がよろしくないとかだと思うのですが。。。
以下、サンプルコード
-------------
<?php
$referer = $_SERVER["HTTP_REFERER"];
$url = 'http://test.com/test.html';
if(!strstr($referer,$url)){
die("正規の画面からアクセスしてください");
exit;
} else {
print("リファラーOK");
}
?>
リファラーが一致すれば、続きを処理。
-------------
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。