Q&A
同じメールはどのくらいの時間差で届きますか?
confirmで受けたリクエストは、バリデートして問題がなければ
headerでthanksに飛ばしているということですよね?
お世話になっております。
現在、旅行の予約サイトを運営しています。
個人情報の入力:input.html
確認:confim.php
完了:thanks.php
と遷移します。
confim.phpには末尾にランダムの数字を割り振っております。
SESSIONを使用し、ブラウザバックを禁止しております。
検証端末では、タブの複製やURLのコピーをしても入力情報は消えます。
例)https://www.XXX.com/confirm.php?rand_str=ABC123456
しかし、連日同じメールが何度も届くことがあります。
ブラウザの更新をしても送信されない仕様なので、ページを開きなおしたわけでもなさそうです。
(そもそもthanks.phpから数秒後にトップページに遷移される)
メール送信判定:confirm.php
confirm.php
1// メール取得済み&ここまででエラーがなければメール送信フラグ取得 2// confirmページから下記Valueが渡されていたらメール送信処理へ進んでよい。 3if (empty($error_msg) && !empty($post_mail)) { 4 if (!empty($_POST['HiddenMailSendOK']) && $_POST['HiddenMailSendOK'] === "mail_is_ok") { 5 $sendmail = 1; 6 }
動的URL生成:input.php
input.php
1 // 規定の組み合わせからランダムな文字列を返却 2 function getRndStr() { 3 var str = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"; 4 var len = 8; 5 var ret = ""; 6 for (var i = 0; i < len; i++) { 7 ret += str.charAt(Math.floor(Math.random() * str.length)); 8 } 9 return ret; 10 } 11 // submitボタン処理 12 function sendConfirm() { 13 if (checkRequire() !== true) { 14 return false; 15 } 16 17 // 飛び先キャッシュ回避 18 document.main_form.action = "confirm.php?rand_str=" + getRndStr(); 19 20 return true; 21 }
原因の切り分けを行いたいのですが、テスト環境では再現できず。
confirm.php?rand_str=ABC123456を複数回開くにはどういった動作が必要でしょうか?
ご返信ありがとうございます。
メールが届く時間差としてはまちまちで、同日の10分後、翌日、1週間後の時間帯はバラバラなど、規則性がないです。(下記が1人分の例です)
2020/07/10 23:11:03
2020/07/11 20:16:32
2020/07/11 20:17:59
2020/07/15 20:02:04
2020/07/16 21:52:48
>confirmで受けたリクエストは、バリデートして問題がなければ
headerでthanksに飛ばしているということですよね?
そちらの認識で合っております。
回答2件
0
ベストアンサー
confirm.php?rand_str=ABC123456を複数回開くにはどういった動作が必要でしょうか?
confirm.phpからthanks.phpに移動した後にリロードをするか、ブラウザのバックボタンで戻ればいけそうな気がします。
そもそも論としては、
confim.phpには末尾にランダムの数字を割り振っており、タブの複製やURLのコピーをしても入力情報は消える仕様としております。
だけだと多重送信の対応にはなりません。
ワンタイムトークンを使って多重送信を防ぐ(CSRF対策としても必要)ことをお勧めします。
php csrf tokenやphp easycsrfあたりで検索するとわかりやすい説明があります。
投稿2020/07/20 06:34
総合スコア18727
ご回答ありがとうございます。
記載しておらず申し訳ないのですが、SESSIONを使って前ページに戻れないようにしております。
検証端末では、ブラウザバックは禁止できていることを確認しております。
リロードやブラウザバック以外だと、
開発者ツールでHTTPリクエストのログを表示するようにして再現する
とか
postman等のツールを使ってリクエストを再現する
あたりが良くある方法ですね
ワンタイムトークンを実装していないSESSIONでの制御は本質的に多重送信を防ぐことは出来ませんし、「ブラウザバックの禁止」がどの様に行われているかわかりませんが、ブラウザ自身がキャッシュしている場合のサーバ通信を伴わないブラウザバックを防ぐのは困難ですので、
元々限定的な条件でしか多重送信防止が出来ていないのだと思いますよ。
JavaScriptによる制御もクライアントサイドで実行される以上、完璧にはなり得ません。
ので、無限に存在するクライアント毎の挙動に対応するよりは、
根本的な対応をされることをお勧めします(現代のフォームにおいてはCSRF対策は必須でしょうし)
ご返信ありがとうございます。
再現方法のご教示ありがとうございます。
そちらについて調べてみます。
>元々限定的な条件でしか多重送信防止が出来ていない
仰る通りです。
<script type="text/javascript">
window.onunload = function(){};
history.forward();
</script>
上記方法で、とりあえずブラウザバックを禁止している現状ですので、
二重submit対策自体を根本的に改修する必要がありますね。
そうですね。
バックエンドで根本的な対策をした上で、JavaScriptでUI上の使いやすさを調整するのが良くある方法かと思います。
ありがとうございます。
一旦バックエンド側での制御を見直してみます。
あなたの回答
tips
プレビュー
