FuelPHPでCSRFトークンを複数フォームで扱いたい

FuelPHPで、フォームの入力画面から確認画面への処理の間に、
CSRFトークンつかってバリデーションをしています。

php
1// View内のform内へ設置
2<?= Form::csrf() ?>

php
1//リクエスト先のControllerメソッド
2if ( ! \Security::check_token())
3{
4			Session::set_flash('error', 'CSRFトークンエラー'); // ulリスト付きのHTMLも生成している
5			Response::redirect("/hogeinput/", 'location', '302');
6}

動作はしておりますが、以下の仕様に対応したいです。

①タブなどで複数のフォームを開く
②それぞれでCSRFトークンチェックを行いたい

デフォルトの仕様では、複数開くと同じCSRFトークンが発行されるため、最後に開いたVIEW以外のフォームは入力を完了してもCSRFトークンエラーとなります。

FuelPHPの機能で実現可能でしょうか。
もしデフォルトで不可能であれば、パッケージなども検討しています。
Sessionにゴニョゴニョ入れるのは面倒なので・・。

ご教授願います。

行動規範の内容に同意します

回答2件

Ajax向けの機能、Security::js_fetch_tokenを転用すれば出来そうな気がします。
Security::js_fetch_tokenは、現在のCSRFトークン取得するJavaScript関数
fuel_csrf_tokenの定義をビューに出力するためのメソッドです。

このfuel_csrf_tokenで取得した現在のトークンをsubmitイベントなどで
フォーム内のhidden項目に仕込めば期待通りの動作になると思われます。
（コントローラ側の修正箇所は特にありません）

javascript
1//viewファイル
2
3//fuel_csrf_tokenが使えるようになる
4<?php echo Security::js_fetch_token(); ?>
5
6//現在のトークン
7var token = fuel_csrf_token();

Security::fuel_csrf_token
http://fuelphp.jp/docs/1.8/classes/security.html#/method_js_fetch_token

投稿2016/06/13 09:21

nnssn

総合スコア1221

退会済みユーザー

2016/06/13 11:26

ありがとうございます！早速実装してみます。

行動規範の内容に同意します

<?php 
// トークン生成Javascript
echo Security::js_fetch_token();

// フォームSubmit時にトークン設定させる↓
echo Form::open(array('onsubmit' => 'fuel_set_csrf_token(this);'));
// フォーム内容記述
echo Form::close();
?>

既にご回答ありますように、Security::js_fetch_token()を出力し、フォームのSubmitでfuel_set_csrf_tokenという関数を実行させればOKかと。

投稿2016/09/24 15:32