PHPによるCSRF対策入門:トークン生成から認証までの流れを解説
2024.11.19
CSRF対策として、トークンを生成してフォームに埋め込む手順のメモ。
送信フォーム側のスクリプト
以下のような感じで、ランダムなトークンを生成し、セッションとしてユーザーのブラウザに保存すると共に、フォームに hidden で埋め込みます。
<?php
// トークン生成関数
function generateCsrfToken(){
return bin2hex(random_bytes(32));
}
// トークンをセッションに保存
session_start();
$csrfToken = generateCsrfToken();
$_SESSION['csrf_token'] = $csrfToken;
?>
<!-- フォームの出力 -->
<form method="POST" action="form.php">
<input type="hidden" name="csrf_token" value="<?php echo htmlspecialchars($csrfToken); ?>">
<!-- 以下略 -->
</form>
受信側のスクリプト
受信側では、フォームから送られたトークンと、セッションに保存されたトークンが一致するかをチェック。
// トークン認証チェック
session_start();
if(!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) || hash_equals($_POST['csrf_token'], $_SESSION['csrf_token'])){
// エラー処理
die('CSRFトークン認証エラー');
}
// 認証後、新たなトークンを生成
$csrfToken = generateCsrfToken();
$_SESSION['csrf_token'] = $csrfToken;
上記の例のように、リクエストごとにトークンを再生成した方がセキュリティは向上します。
が、複数タブで操作されることが多いWebアプリケーションや、Ajax的なデータのやり取りの多いWebアプリケーションだと、リクエストごとに再生成すると頻繁にトークンの認証に失敗してしまうことになりがちです。
折衷案として、トークンに有効期限を設定して管理する、という方法もありますね。
// トークンをセッションに保存
session_start();
$csrfToken = generateCsrfToken();
$_SESSION['csrf_token'] = $csrfToken;
$_SESSION['csrf_token_expire'] = time() + 60 * 60; // 60分有効
// トークンの認証チェック
session_start();
if(!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) || hash_equals($_POST['csrf_token'], $_SESSION['csrf_token'])){
// エラー処理
die('CSRFトークン認証エラー');
}
// 有効期限のチェック
if(!isset($_SESSION['csrf_token_expire']) || time() > $_SESSION['csrf_token_expire']){
// エラー処理
die('CSRFトークン有効期限切れ');
}
OGP画像作成を効率化:PHPを使った自動生成方法を解説
2024.11.21
SNSシェアに欠かせないOGP画像、毎回手作業で作成するのは手間がかかりますよね。本記事では、PHPを使って記事タイトルを含むOGP画像を自動生成する方法を解説します。テンプレート画像を活用した簡単な手順をぜひお試しください。
PHPとPerlでファイルパーミッションを変更する方法(chmod関数)
2024.11.16
PHPとPerlには、ファイルのパーミッションを変更するためのchmod関数が標準で用意されています。この記事では、PHPとPerlそれぞれのchmod関数を使ったファイルパーミッション変更の基本的な使い方を紹介します。
PHPでNotionのページを更新する方法
2023.11.24
NotionのページをPHPから直接更新できる方法をご紹介します。本記事では、Notion APIを使用して、タスクの名前やカテゴリ、ステータスなどのプロパティを簡単に更新する方法を解説します。
Notion APIでPHPからデータベース検索を実行する方法
2023.11.24
Notion APIを使って、PHPでNotionデータベースから特定の条件に一致するデータを検索する方法をご紹介します。記事では、フィルター条件をJSON形式で指定して、タスクのステータスなどに基づいてデータを絞り込む方法を解説しています。