「4.6 セッション管理の不備 」について

[OK]

徳丸様、いつもお世話になっております。

「4.6 セッション管理の不備 」の「セッションIDの固定化」について2点質問（P.2とP.8の黄色の吹き出し）がございますので、何卒ご回答お願いできますでしょうか。
質問するに当たり、私の認識を図解しております。

何卒よろしくお願い致します。

[徳丸浩]

徳丸です。こんにちは。

>【質問1】httpレスポンスにテキストボックスが追加されるのはなぜでしょうか。

URL埋め込みのセッションIDでは、GETメソッドではURLにセッションIDを示すPHPSESSID=xxxx をPHPが自動的に埋め込みますが、POSTメソッドのフォームの場合はPOSTパラメータでセッションIDを埋め込みます。それをするためには、type=hiddenのinput要素を使う必要があります。PHPが自動的にこの処理を行うためです。

>【質問2】左記が設定されているにも関わらず[Set-Cookie]ヘッダがないのはなぜでしょうか。

PHPは元々セッションIDがHTTPリクエストのCookieやURL、POSTパラメータに存在する場合は、あらたにセッションIDを発行することはしません。ご質問のケースではPHPSESSID=ABCがURLにあるため、Set-Cookieはせずに、値をtype=hiddenのinput要素にて次のページに引き継いでいます。そのようなPHPの仕様です。つまり、この設定だと、いったんCookieを「使わない」動作だと、一貫してCookieを使わない動作になります。

2025年6月3日(火) 1:53 OK <cs00...@gmail.com>:

--
このメールは Google グループのグループ「「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML」に登録しているユーザーに送られています。
このグループから退会し、グループからのメールの配信を停止するには wasbook-reade...@googlegroups.com にメールを送信してください。
このディスカッションを表示するには、https://groups.google.com/d/msgid/wasbook-readers/5d8b5021-eb36-4591-98f7-40ad90529ec1n%40googlegroups.com にアクセスしてください。

--

徳丸浩 htok...@gmail.com

[OK]

徳丸様、いつもお世話になっております。

返信が遅れ大変申し訳ありません。

ご回答ありがとうございます。

引き続き勉強を続けます。

今後ともよろしくお願い致します。

2025年6月3日火曜日 8:43:14 UTC+9 徳丸浩:

[OK]

徳丸様、いつもお世話になっております。

返信が遅れ大変申し訳ありません。

ご回答ありがとうございます。

引き続き勉強を続けます。

今後ともよろしくお願い致します。

2025年6月3日火曜日 8:43:14 UTC+9 徳丸浩:

徳丸です。こんにちは。

[OK]

徳丸様、いつもお世話になっております。

返信が遅れ大変申し訳ありません。

ご回答ありがとうございます。

引き続き勉強を続けます。

今後ともよろしくお願い致します。

2025年6月3日火曜日 8:43:14 UTC+9 徳丸浩:

徳丸です。こんにちは。