FuelPHPでCSRF対策エラーでのメモ

2016年1月30日 [Fuelphp]

FuelphpでCSRF対策していると

下記のように記載すると対策できますが、

if(Security::check_token()){
    //正しいポストのときの処理
}else{
    //不正なポストのときの処理
}

if(Security::check_token()){

//正しいポストのときの処理

}else{

//不正なポストのときの処理

}

なぜか、今まで動いていたのに動かない事象が発生したのでメモとして残しておきます。

ヘッダーで、Scriptやlinkでなんだかんだ読み込みをしているかと思います。

これのどこかが影響しているっぽいのでヘッダーを疑うべし。

chromeの検証ツールでみたいたところ、どうも同じURLに対してGETだけをリクエストするのが通常の動作だったのですが、GETの前にHEADでリクエストしている動きを発見。

ファイルアップロードのjavascriptでHEADでアクセスしている箇所があったのでこれが影響。

原因は判明したがもっとセキュリティについても勉強しなくては。

Fuelphp自身がワンタイムトークンを利用している点も考慮しないとな。