CakePHP 4 で CSRF 保護を一部または完全に無効化(有効化)する方法 / Twin Turbo Computing
はじめに CakePHP 4 ではデフォルトで CSRF 保護が有効になっています。しかし API の実装など CSRF 保護を使わない場合もあります。 今日は CakePHP 4 で CSRF 保護を一部もしくは全体で無効化(有効化)する方法をご紹介します。 今回使用したのは CakePHP 4.0.8 です 目次 下準備 完全に無効 一部のアクションで無効 or 有効 特定スコープのみ有効 終わりに 1. 下準備 今回は Samples コントローラに add と edit の2つのアクションをつくり、テンプレートは共用にしました。テンプレートには CSRF トークンを含めず、CSRF 保護が有効な場合には送信時にエラーが出るようにしています。 <?php declare(strict_types=1); namespace App\Controller; class SamplesC
cakephp3 get送信の暗号化と復号化 - ハイクアウトデザイン
cakephp3でget送信する際、クエリパラメータに送信情報が生データのまま載せられるのがイマイチだったので、暗号化⇔復号化の手順をまとめました。 ソース内の $key = Configure::read(‘key’); を呼び出すにはconfig/schema/bootstrap.phpにkeyを記載する必要があります。 Security::saltの下にでも以下を打ち込みます。 Configure::write(‘key’,’◯◯◯◯’); ◯◯◯◯には大小の英数文字が35文字入ります。このkeyを元に暗号化されます。 以下はget送受信で暗号化する際の部品です。 ※参考URL…3.x Book/セキュリティ 代表 大内春睦 仙台のフリーランスwebデザイナー&エンジニア。 東北学院大学在学中にweb制作に興味を持ち、そのままフリーランスへ。とうぜん食える訳もなく、新聞配達をしながら
Cakephp2.xでのBlackHoleまとめ
CakePHPでSecurityコンポーネントを使っていると、時折発生するBlackHole。 発生時はエラーログを確認するしか詳細な原因がわからないのですが、多くの場合は以下のどれかに該当するのではないでしょうか。 CSRFチェックのトークンがUseOnceなのにフォーム送信後にブラウザの「戻る」とか押してからフォームを再送した。 フォームを生成してから30分過ぎた。(トークンのデフォルト有効期限が30分) JavaScriptでHidden項目を書き換えた。 JavaScriptで入力項目を追加したり取り去ったりした。 ブラウザの戻るを想定する場合はトークンを複数回使えるように設定しなければいけません。(ただし、セキュリティー的には若干低下します) 複数回使いまわせるようにするにはControllerのbeforeFilterなどで以下のようにcsrfUseOnceをfalseにします
CakePHP2.1 SecurityコンポーネントとAjax通信 – MT Systems
Securityコンポーネントを利用するコントローラに、jQuery のAjax関数「$.post()」でアクションを実行しようとしても、しっかりとブラックホール行きとなり期待する処理ができない。どうするか、以下は自分で試してみての解決方法です。 先ず、セキュリティを回避してアクションを実行するには、以下のように「beforeFilter()」でSecurityのプロパティに値を設定すればいいようだ。 public function beforeFilter() { parent::beforeFilter(); if ($this->params['action'] == アクション名) { $this->Security->csrfCheck = false; $this->Security->validatePost = false; } } しかしこのままの利用はセキュリティ上好ま
ユーザ登録(仮登録・メール・本登録)
以前1.3版で投稿した「ユーザ登録」処理の2.x版を作成しました。フローは同じで以下のようにします。 1. メールアドレス・パスワードでユーザ登録 2. この時点では仮登録として、本登録用のURLリンクをメールで送付 3. 送付されたリンクをクリックして「本登録完了(activate)」とする ユーザ(users) テーブル statusを用意し、デフォルトを1としています。"1"を仮登録状態でログイン不可、"0"を本登録としログイン可能にします。その制御は、「scope」が使えそうです。 -- usersテーブル CREATE TABLE IF NOT EXISTS `users` ( `id` INT NOT NULL AUTO_INCREMENT , `username` VARCHAR(255) NOT NULL , `password` CHAR(128) NOT NULL ,
CakePHP の PHP コード実行の脆弱性を使って CakePHP を焦がす - co3k.org
2010/11/13 に出たらしい http://bakery.cakephp.org/articles/markstory/2010/11/13/cakephp_1_3_6_and_1_2_9_released を読んでびっくりしたんですが、 Twitter を軽く検索した限りだと CakePHP ユーザでない僕が気づいているのに (日本の) CakePHP ユーザさんたちがどうも気づいていないっぽいのでわかりやすくまとめてみることにしました! CakePHP には任意の PHP コードが実行できる致命的な脆弱性があります! 影響のあるサイト結構ありそうですが悪用厳禁です! ※通常リリースの告知のなかにこんな致命的な脆弱性に関する情報を思いっきりわかりにくく書いちゃうのはひどいなあと思うので、ユーザの方は CakePHP に文句を言うといいと思います。僕は CakePHP ユーザじゃない
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
