[PHP-users 32605] Re: セッションで制限しているページが見えてしまう

goungoun gounx2 @ gmail.com
2007年 9月 5日 (水) 15:51:46 JST


こんにちは。

# メールの件名が「セッションで制限しているページが見えてしまう」
# となっているので騙されてるんだと思いますが。

(1)http://example.com/A.php を表示
   このとき $_SESSION['abc'] = 1; する。
(2)ローカルのhtmlに
   <a href="http://example.com/B.php">Bへ</a>
   と書いて保存&(1)のブラウザで表示&
   リンクをクリック
(3)http://example.com/B.php を表示

ということを行ったときに、
(3)の時点で、
$_SESSION['abc']
に 1 が見えるのは当たり前の話ですね。

# セッションというのはそういうもの。

もし、この挙動を見て、
  ローカルのhtmlにアクセスしたのに
  B.phpでセッションの中身が見えるのはおかしい。
と思ってPHP-usersに質問したのであれば、
HTTPプロトコルとかセッションとかcookieについて
知識を補った方がよいと思います。

CSRFについて調べるにしても、そのあたりが
わかっていないことには、もやもやとしか見えないと思います。

あと、セキュリティというくくりでいうならCSRFはごく一部の話なので、
個人的には、本でまとまった情報を読んでおくのがお勧めです。


-- 
goungoun <gounx2 @ gmail.com>
http://goungoun.dip.jp/app/



PHP-users メーリングリストの案内