すごいリロード対策 - p4lifeのメモ

メモ, PHP【PHP TIPS】 58. すごいリロード対策紹介されているのはシンプルなワンタイムトークン．単純なリロード対策であれば ticket の値は乱数でなくても良い．ここを乱数にすることで CSRF 対策も兼ねている．ただこの方法は，場合によってはフォームを正常に送信できなくなってしまう問題がある． 例えば，入力画面→入力確認画面と遷移してから別のウィンドウで入力画面→入力確認画面と遷移すると，前の入力確認画面のフォームは ticket が無効になり，フォームを送信できなくなる（複数画面同時編集ができない）． 解決策としては，発行したトークンを全て記憶しておき，POST されたトークンと照合する方法がある． confirm.php session_start(); $token = sha1(uniqid(mt_rand(), true)); // トークンをセッションに追加す

[kkeisuke]

CSRF

[yamadar]

参考になりました。

[itmst71]

複数画面同時編集に対応

[u87]

覚えておこう

[shimooka]

トークンを複数管理

[karronoli]

なるほど。

[ryuzee]

PHPで画面のリロード対策をする方法

[suttang]

発行したワンタイムトークンを全て記憶しておく

[thuglife]

Webアプリ開発時全般で有効

[raimon49]

複数ウィンドウの話。前にはまった。

[s_yasue]

リロード対策

[hiro_y]

ワンタイムトークン/トランザクショントークン、複数画面を開いた場合に対応。

[usj12262]

複数トークンへの対応