回答編集履歴

追記

2017/04/19 08:58

投稿

shi_ue

スコア4437

test CHANGED Viewed

@@ -5,3 +5,191 @@
 ところで、なぜ別ウィンドウを開くときにログインしていない方がいいんでしょうか？
+追記
+---
+別ウィンドウで開くとマズいセキュリティ対策、っていうのがかなり気になりますが・・・
+銀行並みですね。
+トークンを使って、必ずその画面遷移を通らないとログイン画面に飛ばす、という方法があります。
+そのページを出力する際に、セッション上にトークンを保存し、ページにもトークンを書き出し、遷移先でトークを比較するわけです。
+以下の例では、page1は何のチェックもしていないのでどこからでも飛んで来れますが、その他のページは必ずリンクを辿らないと表示されません。（リロードも許されません）
+page1
+```php
+<?php
+  session_start();
+  session_regenerate_id(true);
+  $token = md5(uniqid('', true));
+  $_SESSION['token'] = $token;
+?>
+<!DOCTYPE html>
+<html>
+<head>
+  <meta charset="utf-8">
+</head>
+<body>
+<h1>page 1</h1>
+<a href="page2.php?t=<?= $token ?>">Go to page2</a>
+<a href="page3.php?t=<?= $token ?>">Go to page3</a>
+</body>
+</html>
+```
+page2
+```php
+<?php
+  session_start();
+  session_regenerate_id(true);
+  if (!isset($_GET['t']) || $_SESSION['token'] !=  $_GET['t']){
+    header('Content-type: text/plain; charset=utf-8');
+    echo "不正な遷移です";
+    exit;
+  }
+  $token = md5(uniqid('', true));
+  $_SESSION['token'] = $token;
+?>
+<!DOCTYPE html>
+<html>
+<head>
+  <meta charset="utf-8">
+</head>
+<body>
+<h1>page 2</h1>
+<a href="page1.php">Go to page1</a>
+<a href="page3.php?t=<?= $token ?>">Go to page3</a>
+</body>
+</html>
+```
+page3
+```php
+<?php
+  session_start();
+  session_regenerate_id(true);
+  if (!isset($_GET['t']) || $_SESSION['token'] !=  $_GET['t']){
+    header('Content-type: text/plain; charset=utf-8');
+    echo "不正な遷移です";
+    exit;
+  }
+  $token = md5(uniqid('', true));
+  $_SESSION['token'] = $token;
+?>
+<!DOCTYPE html>
+<html>
+<head>
+  <meta charset="utf-8">
+</head>
+<body>
+<h1>page 3</h1>
+<a href="page1.php">Go to page1</a>
+<a href="page2.php?t=<?= $token ?>">Go to page2</a>
+</body>
+</html>
+```
+果たしてこんなことが使う人が望むことなのかどうかは分かりませんが・・・