CSRF対策のトークンチェックは、結局自作で入れる事にして、 Token作成およびチェックのコンポーネントとヘルパーを作成しました。 プラグインにまとめても良さそうなのですが、良い名称が思い浮かばないので保留 *1 (2011/2/10 コメント指摘を受けて修正しました) 作成したコンポーネントとヘルパーのソースは末尾。 Tokenコンポーネント Authコンポーネントの$ActionMapを見て、未設定/read以外(create, delete, update)のアクションであれば、POSTがある場合Tokenチェックを行なう。 Tokenがない、あるいは正しくない場合、処理停止。 Tokenヘルパー value=セッションIDのハッシュ であるhiddenタグを出力 暗号化はデフォルトmd5 コントローラ・ビュー側の対応 Tokenチェックはapp_controllerのbefore