Q&A
post先の機能はすでに別サイトで稼働しているページなのでしょうか?それとも今回のpost専用に作っているものでしょうか?
前にも同じような質問をしたのですが、改めて質問させてください。laravelでpost送信する際はcsrf_token()のチェックが入ると思うのですが、別サーバーにあるlaravelにpostする際はどのようにしてcsrf_token()を回避すればよいのでしょうか?前の質問でくれた情報をもとに考えたコードが下記になります。
webサーバー
$url ='https://csrf'; $csrf = file_get_contents($url); //ここで別サーバーのcsrf_tokenを取得 $value1 ='http://test'; $value2 =array('test'=>'テストです','_token'=>$csrf); //_tokenという名で先ほど別サーバからとってきたtokenを格納 $result= curl($value1,$value2,$sign);//別サーバーに送信。長いので細かい記述は省いてますがcurlで送信してます。
別(AP)サーバー
/csrf $csrf = csrf_token(); echo $csrf;
こんな感じで書けば大丈夫かなと思ったのですが、結果はTokenMismatchでした。どこかやり方を間違えているでしょうか?
因みにこれらは全てlaravelのコントローラー内に書いてます。
今はテスト段階なので、今回のpost専用に作っているものになります。
回答1件
0
ベストアンサー
curlはデフォルトではcookieを保持しないため、2回目以降のcurlにセッションが引き継がれません。
csrfトークンはセッション毎に1つ発行されますので、1回目のcurlと2回目のcurlでは別のトークンが検証されます。
PHPのcurl関数にcookieを保存するオプションがあるようなので、ググってみてください。
追記
「restful csrf」などでググってみると、このようなケースではcsrfチェックは行わずに、ホワイトリストを作り、リクエストヘッダのOriginを見て照合するのが効果的のようです。
参考記事
投稿2016/12/06 02:43
編集2016/12/06 02:55総合スコア606
なるほど。csrfチェックをするというよりかは指定したものをチェックしないほうが確かに効率的ですね。その方向にします!ありがとうございました!
あなたの回答
tips
プレビュー
