質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Laravel

LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

Q&A

解決済

2回答

5866閲覧

Laravel5.1でXSRF-TOKENをSecure属性にするには

SYuichi

総合スコア7

Laravel

LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

0グッド

0クリップ

投稿2016/03/25 05:16

###前提・実現したいこと
PHP(Laravel5.1)で会員向けのシステムを作っています。
HTTPS環境で動かしており、templateエンジンはbladeを使用しています。

###発生している問題・エラーメッセージ
CSRF対策としてbladeのform機能をつかいXSRFを設定していますが、
CookieのXSRF-TOKENにセキュア属性をつけることができません。

session.phpのsecureを
以下のようにtrueにしていますが、XSRF-TOKENには効かないようです。

XSRF-TOKENにsecure属性をつける方法がありましたら
ご教示お願いします。

###ソースコード
session.php

'secure' => true,

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

ソースの方を見てみましたが、sessionのsecure属性から取っているのは間違いないようです。

https://github.com/laravel/framework/blob/5.1/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken.php#L107-L119

domainを指定してcookieの有効範囲を狭めてみてはどうでしょうか?

投稿2016/03/26 03:45

fagai

総合スコア2158

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

SYuichi

2016/03/28 06:17

ご回答ありがとうございます。 VerifyCsrfToken.php内の以下の処理を書き換えることで セキュア属性を付与することができました! (3つめのパラメータをtrueに変更) $config['path'], $config['domain'], true, false ありがとうございました。
fagai

2016/03/28 06:24

良かったです。 もちろん継承されているapp/Http/Middleware/VerifyCsrfToken.phpで上書きしたということですよね。 後になって気付きましたが、configのキャッシュとかをやっている場合そのキャッシュを消さないと反映されないのでもしかしたらキャッシュが残ってるかもしれないです
SYuichi

2016/03/28 07:20

はい、開発環境と検証環境でhttpとhttpsを切り分ける処理を加え、 継承先のVerifyCsrfToken.phpを更新しました。 本当に助かりました、ありがとうございました。
guest

0

X-XSRF-TOKENじゃありません?

投稿2016/03/25 12:10

JinwonKim

総合スコア312

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

SYuichi

2016/03/28 06:13

生成されたCookieを見る限りXSRF-TOKENで作成されているようです。 X-XSRF-TOKENでも処理が書かれていましたが、詳細は不明です。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問