質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.20%

ユーザーに直接アクセスされないようにしたい。2

解決済

回答 2

投稿

  • 評価
  • クリップ 2
  • VIEW 7,277

og24715

score 786

前回の質問に少し関連するのですが

例えば

<!--form.html-->
<form action="res.php" method="POST">
  <input type="text" name="mss">
  <input type="submit">
</form>
//res.php
<?php
  echo filter_input(INPUT_POST, 'mss');
?>

このような簡単なプログラムがあったとします。 res.phpは、form.htmlから遷移された時に正しい動作をしますので、res.phpへは直接URLを叩くなどしてアクセスされることは望みません。 このような時res.phpに直接アクセスされないようにするにはどうしたらよいでしょうか。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+2

「URLを叩かれた」場合だけ排除したいのであれば、リクエストがPOSTであるかどうかのチェックだけでOKです(GETならステータスコードで403でも返しておけばいいでしょう)。

不正なPOSTですが、特に「ログインクッキーを持ったままの状態で、攻撃者のサイトから意図しないPOSTを投げさせる」という攻撃手法があって、「CSRF」と呼ばれています。

不正なPOST対策としては、CSRF対策と同様になりますが、

  1. セッション内にユーザーごとの秘密の値(トークン)を持たせる
  2. フォーム表示時にそのトークンを埋め込んで、一緒にPOSTさせる
  3. POSTされた側でトークンが正しくなければ処理を打ち切る

というような流れになります。フレームワークを使っているなら、そちらでこのような対策を実施する手段がたいてい組み込まれています。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

簡単な実装ですと、リファラーをマッチさせて、該当のHTML以外からのアクセスを弾く方法があると思います。

$referer = $_SERVER["HTTP_REFERER"];
$url = 'アクセスを許可したいURL';
if(!strstr($referer,$url)){
 die("正規の画面からアクセスしてください");
 exit;
}

もう少し高度に検証する場合は、JavaScriptを利用するなどして、HTML側に認証キーを埋め込んで、POSTで渡す方法などもあると思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/12/04 14:46 編集

    回答ありがとうございます。
    試してみましたが、form.htmlにいる状態でres.phpをURLを直打ちした場合ifを素通りしてしまうため、こちらの期待する動作をしませんでした。

    キャンセル

  • 2015/12/04 16:46

    実際に書いたコードを掲載していただけませんか?
    URL直打ちした場合は、リファラー変数は空なので、素通りしちゃうのは条件分岐がよろしくないとかだと思うのですが。。。

    以下、サンプルコード
    -------------
    <?php
    $referer = $_SERVER["HTTP_REFERER"];
    $url = 'http://test.com/test.html&#039;;
    if(!strstr($referer,$url)){
    die("正規の画面からアクセスしてください");
    exit;
    } else {
    print("リファラーOK");
    }
    ?>
    リファラーが一致すれば、続きを処理。
    -------------

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.20%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる