【CakePHP4】CSRF機能を解除したい

Question

### 実現したいこと

CakePHP４はデフォルトでCSRF機能がオンになっているということなのだそうで、その機能をオフにしたいです。

### 前提

情報をDBに登録するだけのフォームを構築しているのですが、送信するとCSRF機能によりエラーが発生してしまいます。
決まった室内で使用するシステムのためということで、ひとまず機能はオフにしたいです。

### 発生している問題・エラーメッセージ

送信テストを行うと以下のようなエラーが発生します。

```php
CSRF token from either the request body or request headers did not match or is missing.
```
ネット上によくある情報からすると、AppController.phpに設定しているソースをコメントアウト、もしくは削除すると良いというお話をよく目にするのですが、そもそもAppController.phpは何も触っておらずそのようなソースを見たことありません。

### 該当のソースコード

良く見つかる情報

```php
以下の部分をコメントアウト
// ->add(new CsrfProtectionMiddleware([
//     'httponly' => true,
// ]));
```

### 試したこと

まずはAppController.phpにCSRF機能を有効にするソースをいれてみました。
公式ドキュメントより

```php
// src/Application.php
// セッションベースの CSRF トークンの場合
use Cake\Http\Middleware\SessionCsrfProtectionMiddleware;

public function middleware(MiddlewareQueue $middlewareQueue): MiddlewareQueue
{
    $options = [
        // ...
    ];
    $csrf = new SessionCsrfProtectionMiddleware($options);

$middlewareQueue->add($csrf);
    return $middlewareQueue;
}
```
すると、以下のようなエラーが発生します。

```php
Fatal error: Declaration of App\Controller\Admin\AppController::middleware(App\Controller\Admin\MiddlewareQueue $middlewareQueue): App\Controller\Admin\MiddlewareQueue must be compatible with Cake\Controller\Controller::middleware($middleware, array $options = []) in C:\xampp\htdocs\cakephp\src\Controller\Admin\AppController.php on line 99
```

余計ひどくなりました。
そいうことで手詰まりで解決方法見つからず数日ハマっております。
どなたか解決方法ご教授していただけたら幸いです。
どうぞよろしくお願いします。

Accepted Answer

### この回答はGPT-4による自動生成回答です
CakePHP 4では、CSRF保護はデフォルトで有効になっています。これを無効にするには、`src/Application.php`の`middleware()`メソッドから`CsrfProtectionMiddleware`を削除する必要があります。

以下にその手順を示します。

```php
public function middleware(MiddlewareQueue $middlewareQueue): MiddlewareQueue
{
    // Configure built-in middleware
    $middlewareQueue
        // Catch any exceptions in the lower layers,
        // and make an error page/response
        ->add(new ErrorHandlerMiddleware(Configure::read('Error')))

// Handle plugin/theme assets like CakePHP normally does.
        ->add(new AssetMiddleware([
            'cacheTime' => Configure::read('Asset.cacheTime'),
        ]))

// Add routing middleware.
        // Routes collection cache enabled by default, to disable route caching
        // pass null as cacheConfig, example: `new RoutingMiddleware($this)`
        // you might want to disable this cache in case your routing is extremely simple
        ->add(new RoutingMiddleware($this, '_cake_routes_'))

// Add csrf middleware.
        //->add(new CsrfProtectionMiddleware([
        //    'httpOnly' => true,
        //]));

return $middlewareQueue;
}
```

上記のコードでは、`CsrfProtectionMiddleware`の行がコメントアウトされています。これにより、CSRF保護が無効になります。

ただし、CSRF保護を無効にすることは、セキュリティ上のリスクを伴います。そのため、本番環境での使用は推奨されません。開発環境でのみ無効にすることをお勧めします。

実現したいこと

前提

発生している問題・エラーメッセージ

該当のソースコード

試したこと

この回答はGPT-4による自動生成回答です

関連した質問