PHPフォームのセキュリティ対策について

その理屈だとSPAにしたら脆弱性の山になるからやめましょうになりますね

Laravel なんて Route::resorce() でかいたら、confirm ありませんしね。

人並みの技術力を持つ人がチームに一人も居なかったらresource使用禁止になりますねえ・・・

自分の場合、いかに確認画面を省くか発注者を説得することが多いので、「確認画面」いらないって言われたら、ラッキー！！としか思わないです。

CSRF対策を勘違いしており、確認画面が必須だと思い込んでいました。たしかにその理屈だと、SPAは危ないということになりますね。ありがとうございました。

LGTM

> CSRF対策を勘違いしており、 では実際にはどういう懸念をしていたのか？が明確しないまま「関係無いから確認画面除去しよう」だと質問者のセキュリティの懸念は解決しないのでは？ 正直言うと質問者がまるで理解していないとは思っており、その上で質問者の思うCSRFの説明を聞く事で問題視している内容と正しい対策の方向性が分かると思っての質問でしたが。 正しい理解を出来ていないようなので敢えて訊きますが、みたいな前置きのある言い方のが嫌ですよね？

なりすましによるフォーム送信を防ぐために、セッションに格納したワンタイムトークンとフォームで送信したトークンを照合し、一致した場合にのみ処理する、というのがCSRF対策だと理解しています。 ただ、過去に何らかの本かサイトで「本当に確認画面から来たのかどうかをチェックする」みたいな記述を読んだ記憶があり（たぶん初心者向けの本だったと思います）、ワンタイムトークンは確認ページで発行し、送信処理時に照合チェックを行うものと思い込んでいました。 まるで理解していないのかどうかは知りませんが、そのように思われるのであれば、詳細にご説明してもらえると有難いです。

最初に返答もせず逆質問をして尚且つマナーだどうだと失礼な態度取っておきながらなぜ教えて貰えると思うのか謎です。 自分の返答は > じゃあ質問者さんの思うCSRFのリスクあると思うので思った通り脆弱性の無い画面遷移にしたら良いんじゃないですかね。 で終わってます。 ただ、「CSRF対策を勘違いしており、」と書くだけで終わっていたので本当の懸念点を明確にしなくて良いのか？という点だけ改めてオマケでコメントしただけです。

質問者の立場としては、結果的に内容に不足であったとしても丁寧に質問を書くように心がけています。初心者が質問することも多いでしょうし、不足があったり「コイツなに言ってんだ？」という内容も中にはあるでしょう。 回答者として、質問内容に何が不足しているのか、ここはどういう意図で書いているのか、この点に関する理解はあるのかを確かめるのに、横柄な聞き方をしていい理由がなにかありますか？ 少なくとも、あなたの最初のコメントは質問者への配慮が見られません。あとから質問の意図を丁寧に書いてくださりましたが、（そこまで丁寧じゃなくても）なぜ最初から書かなかったのでしょう。 私の指摘が「失礼な態度」とおっしゃいますが、配慮のないコメントに対しては相応な態度になりますよ。あなたのその「教えてあげてんだから」という態度こそが、こういうナレッジサイトにはそぐわないと思います。

> 「コイツなに言ってんだ？」 んな事は思ってません。何とも思ってません。ただまあ知識の無い側からすると被害妄想的なものか知りませんが、「コイツなに言ってんだ？」と攻撃的に受け取る事は分かりました。 > 横柄な聞き方をしていい理由がなにかありますか？ 知識が無い側にとっては「CSRFってなんですか？質問者さんの説明を聞いてみたいです。」の一文が横柄だと感じる事は理解しました。 > （そこまで丁寧じゃなくても） こういう無駄な事書かないと気が済まない根性が根にあるなら有識者が無償で善意で回答してくれるこういうサイト使わないで全部自力でやればいいでしょ。 それか配慮して欲しけりゃ金払って先生になってくれそうな人探せばいいだけ。 > ナレッジサイト ナレッジをご存知でないかもと思うので今回は最初から言いますが、配慮ではなく正しい情報の蓄積です。 ちなみにあなたに特別配慮する気には一切なりませんでしたが、ただの文章を横柄と感じたのはあなたの勝手です。 また、丁寧な質問文を書く人には特別配慮したコメントをする事もあります。 人の回答欄で通知ばかり迷惑だと思うので自分からは以上とします。

いえ、結局は人としてもマナーの問題に過ぎませんので。 >知識の無い側からすると被害妄想的なものか知りませんが こういう表現をみれば分かります。

たしかに、手順が多くなるほど脆弱性が入る可能性も高まりますね。ありがとうございます。

確認画面通すとCSRF対策が2回必要になりますよね。

確認画面でCSRF対策が必要なのはなぜなのでしょうか？ 確認画面では送信やDB登録の処理はないので、必要ないという認識だったのですが。

送信された情報の確からしさを確認する必要はありますよ。実装次第では、入力→確認と確認→完了の送信内容改ざんが可能です。 「入力画面からきた内容が間違いなく完了画面に来ているか」確認のためにはそれぞれきちんと経由されているかをチェックする必要があります。 CSRFの脅威がDB登録のみであるという根拠は何でしょうか？他のインジェクションと混同してませんか？

DB登録のみが脅威だという意味ではなく、トークンの照合を行うのが、フォームで一般的に処理されるメール送信やDB登録の時に行うもの、という意味で書きました。そういう認識にいますので、確認画面でなぜ入力画面で発行したトークンの照合が必要なのかが理解できていません。

メール送信もDB登録も「正しい情報が意図した場所から送られてきている前提」ですよね。 「正しい情報が意図した場所から送られてきている」確認は何でするつもりですか？

言葉足らずですみません。おっしゃる確認はトークンの照合で行うものと理解していますが、確認画面において「意図した場所から送られていることを確認するためにトークンの照合を行う」ことの必要性が分からないのです…

意図した場所以外から送り込まれる脅威がCSRFです。 意図した場所から送られない以上、何されてもおかしくはないです（我々が考えつかないようなことを平気でやってくるのがクラッカー）。 「問題ない実装」を担保したければトークン照合するしかないです。