すごいリロード対策 - p4lifeのメモ
メモ, PHP【PHP TIPS】 58. すごいリロード対策紹介されているのはシンプルなワンタイムトークン.単純なリロード対策であれば ticket の値は乱数でなくても良い.ここを乱数にすることで CSRF 対策も兼ねている.ただこの方法は,場合によってはフォームを正常に送信できなくなってしまう問題がある. 例えば,入力画面→入力確認画面と遷移してから別のウィンドウで入力画面→入力確認画面と遷移すると,前の入力確認画面のフォームは ticket が無効になり,フォームを送信できなくなる(複数画面同時編集ができない). 解決策としては,発行したトークンを全て記憶しておき,POST されたトークンと照合する方法がある. confirm.php session_start(); $token = sha1(uniqid(mt_rand(), true)); // トークンをセッションに追加す
今感じていること PEAR::Authで自動ログイン
しかし、仕事してて調べものしてて、自分のブログがヒットした時の気恥ずかしさと言ったら。。 タイトルに書いたことをしようとしていたのですよ。 で、最初は、「php.iniのsession.cookie_lifetimeを大きくしておけば大丈夫じゃん」って軽く思っていたのですよ。でも、そうすると、デフォルトは「次回からログインを省略する」ってことになってしまって、逆に「ログイン状態を保持しない」って時にどうするの?って問題にぶち当たりまして。 はじめは、session_set_cookie_paramsで、0を指定して、セッションクッキーにしてしまえ!って思ったんですけど、クッキーを発行するのは結局の所Authの中だったりして、知らないうちにsession.cookie_lifetimeで指定された期間保持されるクッキーが発行されてしまったりして。 で、色々調べてみたら、そもそもそのポリシーが
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
