[PHP-users 32605] Re: セッションで制限しているページが見えてしまう
goungoun
gounx2 @ gmail.com
2007年 9月 5日 (水) 15:51:46 JST
こんにちは。
# メールの件名が「セッションで制限しているページが見えてしまう」
# となっているので騙されてるんだと思いますが。
(1)http://example.com/A.php を表示
このとき $_SESSION['abc'] = 1; する。
(2)ローカルのhtmlに
<a href="http://example.com/B.php">Bへ</a>
と書いて保存&(1)のブラウザで表示&
リンクをクリック
(3)http://example.com/B.php を表示
ということを行ったときに、
(3)の時点で、
$_SESSION['abc']
に 1 が見えるのは当たり前の話ですね。
# セッションというのはそういうもの。
もし、この挙動を見て、
ローカルのhtmlにアクセスしたのに
B.phpでセッションの中身が見えるのはおかしい。
と思ってPHP-usersに質問したのであれば、
HTTPプロトコルとかセッションとかcookieについて
知識を補った方がよいと思います。
CSRFについて調べるにしても、そのあたりが
わかっていないことには、もやもやとしか見えないと思います。
あと、セキュリティというくくりでいうならCSRFはごく一部の話なので、
個人的には、本でまとまった情報を読んでおくのがお勧めです。
--
goungoun <gounx2 @ gmail.com>
http://goungoun.dip.jp/app/
PHP-users メーリングリストの案内