Q&A
前提・実現したいこと
PHPで問い合わせフォームにURLの直たたき防止の機能を実装中です。
入力画面(contact.php)⇛確認画面(confirm.php)⇛完了画面(complete.php)という構造でこの順序でしかそれぞれの画面にアクセスできないようにしたいです。
現在confirm.phpにcontact.phpからでしかアクセスできませんというコードを下記のように作っておりますが、URL取得のコードをどのように書くべきかわかりません。
環境に応じた取得方法を記述するにはどのようにするべきでしょうか。
該当のソースコード
ソース// URL直たたき対策 $referer = $_SERVER["HTTP_REFERER"]; $url = 'https://3619dda849484d518eb5fda739e3e87d.vfs.cloud9.ap-northeast-1.amazonaws.com/contact_form/contact/contact.php'; if(!strstr($referer,$url)){ die("正規の画面からアクセスしてください"); exit; }
CSFR対策コード
//POSTされたデータをチェック $_POST = checkInput( $_POST ); //固定トークンを確認(CSRF対策) if ( isset( $_POST[ 'ticket' ], $_SESSION[ 'ticket' ] ) ) { $ticket = $_POST[ 'ticket' ]; if ( $ticket !== $_SESSION[ 'ticket' ] ) { //トークンが一致しない場合は処理を中止 die( 'Access Denied!' ); } } else { //トークンが存在しない場合は処理を中止(直接このページにアクセスするとエラーになる) die( 'Access Denied(直接このページにはアクセスできません)' ); }
補足情報(FW/ツールのバージョンなど)
AWS Cloud9
PHP 5.6.40
回答2件
0
ベストアンサー
リファラーは偽装可能であったり、ブラウザの設定で送信が無効化されたりするものなのでごく簡易的なチェックにしかなりません。
(特に、悪意を持って問い合わせを直POSTするようなケースにはほぼ効果がありません。)
かつ、おそらく多重POST等も防止する必要があるでしょうから
リファラーでチェックするのではなく
多重POST防止やCSRF対策として用いられるようなセッションとワンタイムトークンを使用して順番通りにアクセスであることを担保することをお勧めします。
具体的な実装はPHP CSRF対策あたりで調べてみてください。
個人的には、フレームワークを使わない場合だと
EasyCSRF
を使って実装するのが楽だった覚えがあります。
投稿2020/04/03 02:58
編集2020/04/03 03:22
総合スコア18727
0
直叩き=GETリクエスト
なので、$_SERVERよりREQUEST_METHODを確認するのが手っ取り早いです。
cURLやajaxなどの対策まで含むならこれにプラスでドメイン確認ですね。
投稿2020/04/03 02:44
総合スコア80875
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/04/03 04:43
2020/04/03 05:05
2020/04/03 05:22