「4.6 セッション管理の不備 」について
36 views
Skip to first unread message
徳丸浩
Jun 2, 2025, 7:43:14 PMJun 2
to wasbook...@googlegroups.com
徳丸です。こんにちは。
URL埋め込みのセッションIDでは、GETメソッドではURLにセッションIDを示すPHPSESSID=xxxx をPHPが自動的に埋め込みますが、POSTメソッドのフォームの場合はPOSTパラメータでセッションIDを埋め込みます。それをするためには、type=hiddenのinput要素を使う必要があります。PHPが自動的にこの処理を行うためです。
>【質問2】左記が設定されているにも関わらず[Set-Cookie]ヘッダがないのはなぜでしょうか。
PHPは元々セッションIDがHTTPリクエストのCookieやURL、POSTパラメータに存在する場合は、あらたにセッションIDを発行することはしません。ご質問のケースではPHPSESSID=ABCがURLにあるため、Set-Cookieはせずに、値をtype=hiddenのinput要素にて次のページに引き継いでいます。そのようなPHPの仕様です。つまり、この設定だと、いったんCookieを「使わない」動作だと、一貫してCookieを使わない動作になります。
>【質問1】httpレスポンスにテキストボックスが追加されるのはなぜでしょうか。
>【質問2】左記が設定されているにも関わらず[Set-Cookie]ヘッダがないのはなぜでしょうか。
PHPは元々セッションIDがHTTPリクエストのCookieやURL、POSTパラメータに存在する場合は、あらたにセッションIDを発行することはしません。ご質問のケースではPHPSESSID=ABCがURLにあるため、Set-Cookieはせずに、値をtype=hiddenのinput要素にて次のページに引き継いでいます。そのようなPHPの仕様です。つまり、この設定だと、いったんCookieを「使わない」動作だと、一貫してCookieを使わない動作になります。
2025年6月3日(火) 1:53 OK <cs00...@gmail.com>:
--
このメールは Google グループのグループ「「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML」に登録しているユーザーに送られています。
このグループから退会し、グループからのメールの配信を停止するには wasbook-reade...@googlegroups.com にメールを送信してください。
このディスカッションを表示するには、https://groups.google.com/d/msgid/wasbook-readers/5d8b5021-eb36-4591-98f7-40ad90529ec1n%40googlegroups.com にアクセスしてください。
Message has been deleted
Message has been deleted
Message has been deleted
OK
Jul 1, 2025, 8:28:34 AMJul 1
to 「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML
徳丸様、いつもお世話になっております。
返信が遅れ大変申し訳ありません。
ご回答ありがとうございます。
引き続き勉強を続けます。
今後ともよろしくお願い致します。
2025年6月3日火曜日 8:43:14 UTC+9 徳丸浩:
OK
Jul 1, 2025, 8:28:34 AMJul 1
to 「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML
徳丸様、いつもお世話になっております。
返信が遅れ大変申し訳ありません。
ご回答ありがとうございます。
引き続き勉強を続けます。
今後ともよろしくお願い致します。
2025年6月3日火曜日 8:43:14 UTC+9 徳丸浩:
徳丸です。こんにちは。
OK
Jul 1, 2025, 8:28:35 AMJul 1
to 「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML
徳丸様、いつもお世話になっております。
返信が遅れ大変申し訳ありません。
ご回答ありがとうございます。
引き続き勉強を続けます。
今後ともよろしくお願い致します。
2025年6月3日火曜日 8:43:14 UTC+9 徳丸浩:
徳丸です。こんにちは。
Reply all
Reply to author
Forward
0 new messages