トークン検証
トークンケンショウ(Web開発とセキュリティ)
意味 CSRFからサイトを守る方法
トークン検証とは?
トークン検証は、Webサイトを不正な攻撃から守るための重要な手法です。特に、CSRF(クロスサイトリクエストフォージェリ)攻撃を防ぐために使われます。この方法では、フォームに隠しフィールドとしてランダムなトークンを埋め込み、サーバー側でそのトークンの正当性を確認することで、不正なリクエストを識別します。
トークン検証の具体的な使い方
CSRFトークン生成と検証の実装例
<?php
session_start();
// CSRFトークンを生成
function generateCSRFToken() {
if (!isset($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
return $_SESSION['csrf_token'];
}
// CSRFトークンを検証
function validateCSRFToken($token) {
if (!isset($_SESSION['csrf_token']) || $token !== $_SESSION['csrf_token']) {
die('CSRFトークン検証失敗');
}
return true;
}
// フォーム表示
if ($_SERVER['REQUEST_METHOD'] === 'GET') {
$csrf_token = generateCSRFToken();
echo "<form method='POST'>
<input type='hidden' name='csrf_token' value='$csrf_token'>
<input type='submit' value='送信'>
</form>";
}
// フォーム送信時の処理
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
if (validateCSRFToken($_POST['csrf_token'])) {
echo "CSRFトークン検証成功。正常な処理を続行します。";
}
}
👇出力結果
CSRFトークン検証成功。正常な処理を続行します。この例では、CSRFトークンの生成と検証を行う関数を実装しています。GETリクエストでフォームを表示する際にトークンを生成し、POSTリクエストで送信されたトークンを検証しています。これにより、正規のフォームからの送信であることを確認し、CSRF攻撃を防ぐことができます。
トークン検証に関するよくある質問
トークン検証が学べる書籍の紹介
「プログラミング単語帳」を使って、プログラミングの単語を英単語のように学習してみませんか?
プログラミング単語帳には、PHPのトークン検証やsession_destroy()、session_start()、htmlspecialchars()、などのような実務でよく使われる単語が数百以上収録されています。
この書籍には、プログラミングの単語の意味や読み方、単語の使い方がわかる例文などが掲載されており、いつでもどこでもプログラミングの学習ができます。
よく使われる単語にだけ絞って学習することができるので、効率的にプログラミングが学習できます。
HTML編、CSS編、JavaScript編、PHP編、Ruby編、その他単語編の6シリーズ分が公式ストアにて販売中です。気になった方はぜひ購入してみてください。
PHPを学べる「プログラミング単語帳」アプリ
プログラミング単語帳がアプリになりました!PHPはもちろん、10種類のプログラミング言語の中から、よく使われる単語をスマホで学習できます。
収録単語は2,000単語以上!
現在は、HTML、CSS、JavaScirpt、PHP、Laravel、Ruby、Python、MySQL、Linux、など10カテゴリーの単語帳が1つのアプリに収録されています。
いつでも、どこでも、隙間時間を有効活用して、プログラミングを効率的に学べるので、ぜひダウンロードしてみてください。
2024年7月アップデート情報:「Laravel」カテゴリーが追加されましました!
2024年8月アップデート情報:「MySQL」「Linux」カテゴリーが追加されましました!
