回答編集履歴
1
回答に具体例追加。
test
CHANGED
|
@@ -17,3 +17,161 @@
|
|
|
17
17
|
https://readouble.com/laravel/5.5/ja/csrf.html
|
|
18
18
|
|
|
19
19
|
に具体的に記載されておりますので、詳しくはそちらをご覧ください。
|
|
20
|
+
|
|
21
|
+
|
|
22
|
+
|
|
23
|
+
|
|
24
|
+
|
|
25
|
+
|
|
26
|
+
|
|
27
|
+
---
|
|
28
|
+
|
|
29
|
+
質問への追記
|
|
30
|
+
|
|
31
|
+
> 下記の方が言うようにCSRF対策をうまくやれば、行けると思うんですがちょっと苦労してます(泣)。
|
|
32
|
+
|
|
33
|
+
|
|
34
|
+
|
|
35
|
+
を受けて。
|
|
36
|
+
|
|
37
|
+
|
|
38
|
+
|
|
39
|
+
すみません、もしかして、こちらの問題、まだ解決されていないのでしょうか?(回答へのコメントを拝見して「わかっていなかったが、回答を見て理解した」という旨かと勘違いしておりました。失礼いたしました)
|
|
40
|
+
|
|
41
|
+
|
|
42
|
+
|
|
43
|
+
各対応内容について、ご紹介した公式マニュアルの内容をもう少し具体的に記載します。
|
|
44
|
+
|
|
45
|
+
※両方の対応を行う必要はありません。いずれか1つの対応を実施してください(おススメは「form中にTokenを追加する」のほうです。Laravelで「実施するべし」と定義されているCSRF対策が正しく行える実装なので)。
|
|
46
|
+
|
|
47
|
+
|
|
48
|
+
|
|
49
|
+
なお、以下の記載内容はLaravel5.5のマニュアルを元に記載しています。
|
|
50
|
+
|
|
51
|
+
バージョンが異なる場合、対応方法が異なる場合がありますので、実際に使われているLaravelのバージョン番号をお知らせください。
|
|
52
|
+
|
|
53
|
+
|
|
54
|
+
|
|
55
|
+
####「form中にTokenを追加する」の場合
|
|
56
|
+
|
|
57
|
+
マニュアルですと、下記の部分に該当します。
|
|
58
|
+
|
|
59
|
+
|
|
60
|
+
|
|
61
|
+
```
|
|
62
|
+
|
|
63
|
+
アプリケーションでHTMLフォームを定義する場合はいつでも、隠しCSRFトークンフィールドをフォームに埋め込み、CSRF保護ミドルウェアがリクエストの有効性をチェックできるようにしなければなりません。トークン隠しフィールドを生成するには、csrf_fieldヘルパ関数を使ってください。
|
|
64
|
+
|
|
65
|
+
|
|
66
|
+
|
|
67
|
+
<form method="POST" action="/profile">
|
|
68
|
+
|
|
69
|
+
{{ csrf_field() }}
|
|
70
|
+
|
|
71
|
+
...
|
|
72
|
+
|
|
73
|
+
</form>
|
|
74
|
+
|
|
75
|
+
```
|
|
76
|
+
|
|
77
|
+
|
|
78
|
+
|
|
79
|
+
具体的に記載すると、
|
|
80
|
+
|
|
81
|
+
resources\views\helo.php
|
|
82
|
+
|
|
83
|
+
の
|
|
84
|
+
|
|
85
|
+
`<form method="post" action="/nitta">`
|
|
86
|
+
|
|
87
|
+
のすぐ下に、
|
|
88
|
+
|
|
89
|
+
`<?php echo csrf_field(); ?> `
|
|
90
|
+
|
|
91
|
+
という記述を追加してください(動作未検証)。
|
|
92
|
+
|
|
93
|
+
|
|
94
|
+
|
|
95
|
+
|
|
96
|
+
|
|
97
|
+
※Bladeテンプレートを使用している場合は、ご紹介したマニュアル内の記載のとおり、
|
|
98
|
+
|
|
99
|
+
`{{ csrf_field() }}`ですが、Bladeテンプレートを使用しない場合は中かっこを使った関数呼び出し(例:`{{ hoge() }}` )ができません。
|
|
100
|
+
|
|
101
|
+
そのため、 `<?php echo hoge(); ?>` で関数を呼び出します。
|
|
102
|
+
|
|
103
|
+
|
|
104
|
+
|
|
105
|
+
|
|
106
|
+
|
|
107
|
+
####「MiddleWareでCSRF対策を無効にする設定を行う」の場合
|
|
108
|
+
|
|
109
|
+
マニュアルですと、「URIの除外」項全体が該当します。
|
|
110
|
+
|
|
111
|
+
|
|
112
|
+
|
|
113
|
+
具体的には、ご自身の
|
|
114
|
+
|
|
115
|
+
|
|
116
|
+
|
|
117
|
+
app\Http\Middleware
|
|
118
|
+
|
|
119
|
+
ディレクトリ(無かったら作成してください)の中に
|
|
120
|
+
|
|
121
|
+
VerifyCsrfToken.php
|
|
122
|
+
|
|
123
|
+
というファイルを作っていただき、その中に、下記の内容を記載してください。
|
|
124
|
+
|
|
125
|
+
|
|
126
|
+
|
|
127
|
+
```php
|
|
128
|
+
|
|
129
|
+
<?php
|
|
130
|
+
|
|
131
|
+
|
|
132
|
+
|
|
133
|
+
namespace App\Http\Middleware;
|
|
134
|
+
|
|
135
|
+
|
|
136
|
+
|
|
137
|
+
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware;
|
|
138
|
+
|
|
139
|
+
|
|
140
|
+
|
|
141
|
+
class VerifyCsrfToken extends Middleware
|
|
142
|
+
|
|
143
|
+
{
|
|
144
|
+
|
|
145
|
+
/**
|
|
146
|
+
|
|
147
|
+
* CSRFバリデーションから除外するURI
|
|
148
|
+
|
|
149
|
+
*
|
|
150
|
+
|
|
151
|
+
* @var array
|
|
152
|
+
|
|
153
|
+
*/
|
|
154
|
+
|
|
155
|
+
protected $except = [
|
|
156
|
+
|
|
157
|
+
'nitta',
|
|
158
|
+
|
|
159
|
+
'http://(実際のドメイン)/nitta', // おそらく不要定義です('nitta'だけでうまくいくなら削除してください)
|
|
160
|
+
|
|
161
|
+
];
|
|
162
|
+
|
|
163
|
+
}
|
|
164
|
+
|
|
165
|
+
```
|
|
166
|
+
|
|
167
|
+
|
|
168
|
+
|
|
169
|
+
|
|
170
|
+
|
|
171
|
+
追伸:
|
|
172
|
+
|
|
173
|
+
みなさんがおっしゃっている「blade」というのは、こちらのことです。
|
|
174
|
+
|
|
175
|
+
https://readouble.com/laravel/5.5/ja/blade.html
|
|
176
|
+
|
|
177
|
+
ご参考まで。
|