Q&A
FuelPHPで、フォームの入力画面から確認画面への処理の間に、
CSRFトークンつかってバリデーションをしています。
php
1// View内のform内へ設置 2<?= Form::csrf() ?>
php
1//リクエスト先のControllerメソッド 2if ( ! \Security::check_token()) 3{ 4 Session::set_flash('error', 'CSRFトークンエラー'); // ulリスト付きのHTMLも生成している 5 Response::redirect("/hogeinput/", 'location', '302'); 6}
動作はしておりますが、以下の仕様に対応したいです。
①タブなどで複数のフォームを開く
②それぞれでCSRFトークンチェックを行いたい
デフォルトの仕様では、複数開くと同じCSRFトークンが発行されるため、最後に開いたVIEW以外のフォームは入力を完了してもCSRFトークンエラーとなります。
FuelPHPの機能で実現可能でしょうか。
もしデフォルトで不可能であれば、パッケージなども検討しています。
Sessionにゴニョゴニョ入れるのは面倒なので・・。
ご教授願います。
回答2件
0
Ajax向けの機能、Security::js_fetch_tokenを転用すれば出来そうな気がします。
Security::js_fetch_tokenは、現在のCSRFトークン取得するJavaScript関数
fuel_csrf_tokenの定義をビューに出力するためのメソッドです。
このfuel_csrf_tokenで取得した現在のトークンをsubmitイベントなどで
フォーム内のhidden項目に仕込めば期待通りの動作になると思われます。
(コントローラ側の修正箇所は特にありません)
javascript
1//viewファイル 2 3//fuel_csrf_tokenが使えるようになる 4<?php echo Security::js_fetch_token(); ?> 5 6//現在のトークン 7var token = fuel_csrf_token();
Security::fuel_csrf_token
http://fuelphp.jp/docs/1.8/classes/security.html#/method_js_fetch_token
投稿2016/06/13 09:21
総合スコア1221
0
<?php // トークン生成Javascript echo Security::js_fetch_token(); // フォームSubmit時にトークン設定させる↓ echo Form::open(array('onsubmit' => 'fuel_set_csrf_token(this);')); // フォーム内容記述 echo Form::close(); ?>
既にご回答ありますように、Security::js_fetch_token()を出力し、フォームのSubmitでfuel_set_csrf_tokenという関数を実行させればOKかと。
投稿2016/09/24 15:32
総合スコア27
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2016/06/13 11:26