Q&A
ブラウザのエクステンションや先読み機能などの可能性は高いかもしれません。
どのような機能で発生するのか特定しにくいのがつらいところですが。
自前でPHPでやったCSRF対策
入力フォーム画面表示時に、
ランダムなトークンを発行してHTMLのhiddenに埋め込む。
同時に発行したトークンをセッションに保持する。
保存ボタンを押したときのアクションで
セッションのトークンとPOSTされたトークンを比較して、
一致していたらOK。不一致だったらエラーとする
上記の対策を入れたら
Chromeの場合だけエラーになってしまいます。
IEだとエラーにならない。
この事象が以前手元の自分の環境で再現したことがありましたが、再現しなくなったので
問題なさそうんだと判断し、リリースしたのですが、
一部のユーザー(全員でない)で事象が発生するようになってしまいました。
自分の環境では再現しないため、原因を追えません。
どういったことが考えられるでしょうか
回答3件
0
ベストアンサー
以前似たような現象であったのは、ブラウザの複数のウィンドウで同じフォームを開いた場合に、
セッション名が同じなので、セッション側は新しく開いたフォームの値になっており、
その後で、古い方のフォームをSubmitすると、トークンが合わずエラーになるというのがありました。
なお、サイト内に複数フォームがあって、そのセッション名が同じでも同じような現象がおこりますね。
あとは、自分なら原因切り分けのために、ログを出力してみますかね。
セッションのトークンとPOSTされたトークンが一致しなかったときだけ、ログを出力します。
それぞれのトークンもですが、セッションIDなどの情報もほしいですね。
そうすればサーバサイドに保存されているセッションとかも見れますし。
投稿2016/09/29 07:58
編集2016/09/29 07:59
総合スコア6586
0
一部ユーザだけ起きるのであれば、
エクステンションか先読み機能か何かが
裏で入力画面を再読込してる
→サーバ側セッションのトークンは更新される、
→ブラウザ側トークンはそのまま
→不一致でエラー
あたりではないかと妄想。
投稿2016/09/29 15:59
総合スコア92
0
その「一部のユーザー」のブラウザがクッキーを受け入れない設定になっているとか?
投稿2016/09/29 07:43
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/09/29 08:02
2016/09/29 08:27
2016/09/29 08:30
2016/09/29 08:40
2016/09/29 08:42
2016/09/29 08:45
2016/09/29 08:46
2016/09/29 09:07
2016/09/30 03:03
2016/09/30 03:08
2016/09/30 03:12
2016/09/30 03:14
2016/09/30 06:04
2016/09/30 07:02