Q&A
そもそもですがtokenにセッションIDを入れるのはセキュリティ的にマズいのではないでしょうか(何を参考にしましたか?)
実現したいこと
Ajaxでデータの送受信を行っていて、確認でセッションIDでの認証も行っているのですがセッションIDが毎回変わってしまい認証されません。
なので、受信するPHPファイルのアクセスの時だけセッションIDが変わらないようにしたいのですが検索しても出てこないので、やり方がわかりません。
また、
php
1session_regenerate_id();
とは入れていないです。
コード
ajax.php
js
1xhr.send('token=<?php echo session_id(); ?>');
get.php
php
1if(isset($_POST["token"])){ 2 if($_POST["token"]===session_id()){ 3 //処理 4 }else{exit("tokenerror");} 5}else{exit("posterror");}
そして、get.phpのif($_POST["token"]===session_id()){の前に
php
1exit($_POST["token"].":".session_id());
の処理を入れ確認したところ、違うセッションIDとなっていました。
よろしくお願いします。
複数のホスト(オリジン)にまたがった処理でしょうか。それとも単一ホストでしょうか?
もう少し前後のコードを見せていただかないと回答がしにくいです。
回答2件
0
セッションIDが毎回変わってしまい認証されません。
原因は Ajaxによるサーバーへの要求に セッションCookie が含まれていないため
サーバー実装が「新規のアクセスとみなして、新しいIDを発行」しているのです。
「セッションの概念」を再確認しましょう。
受信するPHPファイルのアクセスの時だけセッションIDが変わらないようにしたい
サーバー実装だけでなく、ブラウザ側も確認しましょう。
XMLHttpRequest オブジェクトは、デフォルトだとCookieを送信しません。
ですので、withCredentials を設定する必要があります。
投稿2019/12/05 21:05
総合スコア5432
0
自己解決
今回はサーバーのphp.iniの設定が何かの原因で初期化されてしまっていたことでした。
元に戻すことで解決できましたが、php.iniのどの設定なのかは申し訳ありませんがよくわかりませんでした。
回答していただいた方、ありがとうございます。
投稿2019/12/06 11:48
総合スコア184
あなたの回答
tips
プレビュー
