teratail
回答率
85.35%
teratail header banner
teratail header banner
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
トップPHPに関する質問
PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CakePHP

CakePHPは、PHPで書かれたWebアプリケーション開発用のフレームワークです。 Ruby on Railsの考え方を多く取り入れており、Railsの高速性とPHPの機動性を兼ね備えています。 MVCやORMなどを「規約優先の考え方」で利用するため、コードを書く手間を省くことができます。 外部のライブラリに依存しないので、単体での利用が可能です。

例外処理

例外処理(Exception handling)とは、プログラム実行中に異常が発生した場合、通常フローから外れ、例外として別の処理を行うようにデザインされたプログラミング言語構造です。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

Q&A

解決済

1回答

3351閲覧

cakePHP3におけるcsrf対策

nabe9069
nabe9069

総合スコア6

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CakePHP

CakePHPは、PHPで書かれたWebアプリケーション開発用のフレームワークです。 Ruby on Railsの考え方を多く取り入れており、Railsの高速性とPHPの機動性を兼ね備えています。 MVCやORMなどを「規約優先の考え方」で利用するため、コードを書く手間を省くことができます。 外部のライブラリに依存しないので、単体での利用が可能です。

例外処理

例外処理(Exception handling)とは、プログラム実行中に異常が発生した場合、通常フローから外れ、例外として別の処理を行うようにデザインされたプログラミング言語構造です。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

0グッド

1クリップ

投稿2020/03/19 08:38

0

1

誤ったcsrfトークンを送信した際の例外処理

// CsrfProtectionMiddleware.php
    protected function _validateToken(ServerRequest $request)
    {
        $cookies = $request->getCookieParams();
        $cookie = Hash::get($cookies, $this->_config['cookieName']);
        $post = Hash::get($request->getParsedBody(), $this->_config['field']);
        $header = $request->getHeaderLine('X-CSRF-Token');

        if (!$cookie) {
            throw new InvalidCsrfTokenException(__d('cake', 'Missing CSRF token cookie'));
        }

        if (!Security::constantEquals($post, $cookie) && !Security::constantEquals($header, $cookie)) {
            throw new InvalidCsrfTokenException(__d('cake', 'CSRF token mismatch.'));
        }
    }

throw new InvalidCsrfTokenException(__d('cake', 'CSRF token mismatch.'をcatchして制御したい

試したこと

view側で
<input name="_csrfToken" type="hidden" value="sample">を記述

postで登録処理を実行すると、
$header = $request->getHeaderLine('X-CSRF-Token')に"sample"が入り、例外処理が走ることを確認済み。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

hoshi-takanori
hoshi-takanori

2020/03/23 03:53

誤った CSRF トークンを受信(送信じゃなくて受信ですよね?)した場合って、つまり CSRF 攻撃を受けたってことなので、ログに記録してシンプルなエラーを返せば良いのでは。
guest

回答1

0

ベストアンサー

こちらの記事を参考にしてください。
【CakePHP3】例外がthrowされた時の処理を追ってみた - Qiita

通常、CakePHP3においてWebでのアクセスの場合、ミドルウェアの例外は ErrorHandlerMiddleware で処理されます。

ErrorHandlerMiddlewareの中では、config/app.phpで設定している Error.exceptionRenderer のクラスを利用してレンダリングを試みます。

この Error.exceptionRenderer を変更することで、各例外に対してレンダリングの制御ができます。

エラーと例外の処理 - 3.8

ExceptionRendererでは、HttpException を継承した例外がスローされた場合、エラーレンダークラスに対応するメソッドがあればそれを利用して処理します。
ドキュメントの例示では、MissingWidgetExceptionに対して missingWidgetというメソッドを作成しています。
(例外クラス名末尾のExceptionを抜いて、最初を小文字にしたメソッド名というルールです。

というわけで、InvalidCsrfTokenExceptionを処理したければ、同じようにAppExceptionRendererを作成してconfig/app.phpで登録し、 invalidCsrfToken というメソッドを作成すれば、InvalidCsrfTokenExceptionに対しての処理を記述できます。

投稿2020/03/24 03:06

nojimage
nojimage

総合スコア959

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

nabe9069
nabe9069

2020/03/24 06:33

ありがとうございます!
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップPHPに関する質問

cakePHP3におけるcsrf対策