誤ったcsrfトークンを送信した際の例外処理

// CsrfProtectionMiddleware.php
    protected function _validateToken(ServerRequest $request)
    {
        $cookies = $request->getCookieParams();
        $cookie = Hash::get($cookies, $this->_config['cookieName']);
        $post = Hash::get($request->getParsedBody(), $this->_config['field']);
        $header = $request->getHeaderLine('X-CSRF-Token');

        if (!$cookie) {
            throw new InvalidCsrfTokenException(__d('cake', 'Missing CSRF token cookie'));
        }

        if (!Security::constantEquals($post, $cookie) && !Security::constantEquals($header, $cookie)) {
            throw new InvalidCsrfTokenException(__d('cake', 'CSRF token mismatch.'));
        }
    }

throw new InvalidCsrfTokenException(__d('cake', 'CSRF token mismatch.'をcatchして制御したい

試したこと

view側で
<input name="_csrfToken" type="hidden" value="sample">を記述

postで登録処理を実行すると、
$header = $request->getHeaderLine('X-CSRF-Token')に"sample"が入り、例外処理が走ることを確認済み。

hoshi-takanori

2020/03/23 03:53

誤った CSRF トークンを受信（送信じゃなくて受信ですよね？）した場合って、つまり CSRF 攻撃を受けたってことなので、ログに記録してシンプルなエラーを返せば良いのでは。

行動規範の内容に同意します

回答1件

ベストアンサー

こちらの記事を参考にしてください。
【CakePHP3】例外がthrowされた時の処理を追ってみた - Qiita

通常、CakePHP3においてWebでのアクセスの場合、ミドルウェアの例外は ErrorHandlerMiddleware で処理されます。

ErrorHandlerMiddlewareの中では、config/app.phpで設定している Error.exceptionRenderer のクラスを利用してレンダリングを試みます。

この Error.exceptionRenderer を変更することで、各例外に対してレンダリングの制御ができます。

エラーと例外の処理 - 3.8

ExceptionRendererでは、HttpException を継承した例外がスローされた場合、エラーレンダークラスに対応するメソッドがあればそれを利用して処理します。
ドキュメントの例示では、MissingWidgetExceptionに対して missingWidgetというメソッドを作成しています。
（例外クラス名末尾のExceptionを抜いて、最初を小文字にしたメソッド名というルールです。

というわけで、InvalidCsrfTokenExceptionを処理したければ、同じようにAppExceptionRendererを作成してconfig/app.phpで登録し、 invalidCsrfToken というメソッドを作成すれば、InvalidCsrfTokenExceptionに対しての処理を記述できます。

投稿2020/03/24 03:06