技術資料

CSRF対策として、トークンを生成してフォームに埋め込む手順のメモ。

送信フォーム側のスクリプト

以下のような感じで、ランダムなトークンを生成し、セッションとしてユーザーのブラウザに保存すると共に、フォームに hidden で埋め込みます。

<?php
// トークン生成関数
function generateCsrfToken(){
    return bin2hex(random_bytes(32));
}
// トークンをセッションに保存
session_start();
$csrfToken = generateCsrfToken();
$_SESSION['csrf_token'] = $csrfToken;
?>

<!-- フォームの出力 -->
<form method="POST" action="form.php">
    <input type="hidden" name="csrf_token" value="<?php echo htmlspecialchars($csrfToken); ?>">
    <!-- 以下略 -->
</form>

受信側のスクリプト

受信側では、フォームから送られたトークンと、セッションに保存されたトークンが一致するかをチェック。

// トークン認証チェック
session_start();
if(!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) || !hash_equals($_POST['csrf_token'], $_SESSION['csrf_token'])){
    // エラー処理
    die('CSRFトークン認証エラー');
}
// 認証後、新たなトークンを生成
$csrfToken = generateCsrfToken();
$_SESSION['csrf_token'] = $csrfToken;

上記の例のように、リクエストごとにトークンを再生成した方がセキュリティは向上します。

が、複数タブで操作されることが多いWebアプリケーションや、Ajax的なデータのやり取りの多いWebアプリケーションだと、リクエストごとに再生成すると頻繁にトークンの認証に失敗してしまうことになりがちです。

折衷案として、トークンに有効期限を設定して管理する、という方法もありますね。

// トークンをセッションに保存
session_start();
$csrfToken = generateCsrfToken();
$_SESSION['csrf_token'] = $csrfToken;
$_SESSION['csrf_token_expire'] = time() + 60 * 60; // 60分有効

// トークンの認証チェック
session_start();
if(!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) || !hash_equals($_POST['csrf_token'], $_SESSION['csrf_token'])){
    // エラー処理
    die('CSRFトークン認証エラー');
}
// 有効期限のチェック
if(!isset($_SESSION['csrf_token_expire']) || time() > $_SESSION['csrf_token_expire']){
    // エラー処理
    die('CSRFトークン有効期限切れ');
}