クロスサイトリクエストフォージェリ¶

CsrfComponent を使用する¶

コンポーネントの配列に CsrfComponent を加えるだけで、CSRF から防御されます。

public function initialize()
{
    parent::initialize();
    $this->loadComponent('Csrf');
}

コンポーネントの設置箇所で、コンポーネントに設定値を渡すことができます。 使用可能な設定オプションは以下の通りです。

• cookieName 送られるクッキーの名前です。デフォルトは csrfToken です。

• expiry CSRF トークンがどのくらい持続するかです。デフォルトはブラウザーのセッションです。 3.1 では strtotime の値も導入されました。

• secure クッキーがセキュアフラグを設定するかどうかです。 クッキーは HTTPS コネクションにおいてのみ設定され、通常の HTTP 上では失敗します。 デフォルトは false です。

• field チェックするフォームのフィールドです。デフォルトは _csrfToken です。 これを変更するときは、FormHelper の設定も必要になります。

有効にした場合、リクエストオブジェクトの現在の CSRF トークンにアクセスできます。

$token = $this->request->getParam('_csrfToken');

FormHelper と統合する¶

CsrfComponent は途切れることなく FormHelper と統合されます。 FormHelper でフォームを作成するたび、CSRF トークンを含む hidden フィールドが挿入されます。

CSRF からの保護と AJAX リクエストについて¶

リクエストデータのパラメーターの他に、CSRF トークンは特殊な X-CSRF-Token ヘッダーで送信されます。 ヘッダーを利用すると、JavaScript を利用した重いアプリケーション、あるいは XML/JSON ベースの API エンドポイントと CSRF トークンとを統合しやすくなります。

特定のアクションで CSRF コンポーネントを無効にする¶

非推奨ですが、あるリクエストに対して CsrfComponent を無効にしたいときがあるでしょう。 コントローラーのイベントディスパッチャー、 beforeFilter() メソッドの中でこれを実現できます。

public function beforeFilter(Event $event)
{
    $this->getEventManager()->off($this->Csrf);
}