DEVELOPERS BLOGデベロッパーズブログ

加藤 正人のデベロッパーズブログ

加藤 正人

氏名
加藤 正人
役職
多分SE
血液型
秘密
出没
美味しいもののあるところ
特色
タヒチ大好き。ちょいメタボ。

加藤 正人

2019/07/04

CSRF token mismatch

 

CakePHP 3.x で jQuery の ajax から POST したデータを処理しようとしたら、CSRF token mismatch. というエラーメッセージが表示されてデータを受け取れなかった。

色々調べてみたところ、

  • このメッセージは CakePHP 3 の CsrfProtectionMiddleware が表示している。
  • CakePHP 3.6 以降は CsrfProtectionMiddleware が既定値で「有効」になっている。
  • このため、Form ヘルパーを使わない form から送信されたデータをコントローラ側で処理しようとするとこのエラーが表示される。

という事が判明。ちなみに CSRF とは Cross Site Request Forgery の略で、サーバー宛にサーバーが意図しないリクエストを送信して処理させることによりサーバーからデータを入手する攻撃。この攻撃に対する防衛手段として、CakePHP 3.6 以降は CsrfProtectionMiddleware (CSRF プロテクションミドルウェア) を既定値で有効化することでフォームにワンタイムトークンを付与し、送られてきたリクエストが正当なトークンを持つかどうかでリクエストの正当性をチェックしている。

対処法としては、

  • ダミーのフォームを Form ヘルパーで作っておく。
  • そのフォーム内に隠しフィールドとして <input name="_csrfToken" type="hidden" value="..." /> が生成されているので、、その value 属性値を取得し ajax で POST する際に指定する。

となる。

やり方としては、まずビュー内に CakePHP の Form ヘルパーでフォームを形成しておく。

続いてそのフォームのスクリプトで

とすることで、CakePHP の付与した CSRF トークンを使って POST データを正しく送信できる。

関連タグ: CakePHP3  CSRF 

関連エントリー

PHP3 でデバグモードを一旦無効化した後再度有効化するとDebugKit が見つからない

CakePHP3 で JSON 応答のための定番処理

CakePHP3 でタイムゾーン変換

バージョンを指定して CakePHP をインストールする

CakePHP サイトの移転時の注意

CakePHP3 のアソシエーションで、紐づけ用フィールドを指定する

CakePHP3 のコマンドライン実行

CakePHP3 の Virtual Field と accessor (Getter)

CakePHP3 で created と modified に日付が自動付与されない場合のメモ

CakePHP3 で

CakePHP3 の JSON 出力でエラー

CakePHP3 のミューテータで書き換えたデータが保存されない件

CakePHP3.6.2 のタイムスタンプ調整 (XSERVER の場合)

CakePHP3 で DebugKit が表示されない

最新版 composer.phar のインストール

PHP 7.x で CakePHP 3.x を使う

Remi's PHP5.6 と intl モジュール

X2 と CakePHP 3.x

2017/05/23
X2 と CakePHP 3.x

CakePHP3 の便利機能

CakePHP3 と SQLite

2017/02/20
CakePHP3 と SQLite

CakePHP3 でテーブル不使用フォームのバリデーション

CakePHP3 のファインダーメソッド

CakePHP 3.x の accessor と mutator 【その2】

CakePHP 3.x の accessor と mutator

XSERVER X10 に CakePHP 3.x をインストールする

XSERVER で CakePHP 3.x が Fatal error

CakePHP 3.x インストールメモ

Composer メモ

2015/06/13
Composer メモ