CakePHP3でCSRF対策

CakePHP 3 で CSRF（Cross Site Request Forgery）対策を行う場合は、CSRF コンポーネントを利用できる。

上記の公式ドキュメントに詳細が書いてあります。

【お知らせ】英単語を画像イメージで楽に暗記できる辞書サイトを作りました。英語学習中の方は、ぜひご利用ください！

— 環境 —
CakePHP 3.1.1
PHP 5.5.19

コントローラーで CSRF コンポーネントを読み込む

CSRF コンポーネントを使うには、任意のコントローラーで読み込むだけです。

public function initialize()
{
    parent::initialize();
    $this->loadComponent('Csrf');
}

public function initialize()

{

parent::initialize();

$this->loadComponent('Csrf');

}

アプリケーション全体で CSRF コンポーネントを有効にする場合は、以下のとおり AppController で読み込むようにすれば良い。

src/Controller/AppController.php

class AppController extends Controller
{
    public function initialize()
    {
        $this->loadComponent('Csrf');
    }

    // ...
}

class AppController extends Controller

{

public function initialize()

{

$this->loadComponent('Csrf');

}

// ...

}

上述のように CSRF コンポーネントをコントローラーで読み込む設定を行った後、ビュー（Template）のファイルでフォームヘルパー（$this->Form->create）を使ってフォームを作成します。

そうすると、フォームの method が POST の場合に、CSRF 対策用トークンの hidden フィールド（_csrfToken）が、自動的にフォームに埋め込まれる。

ビューのファイル。

<?= $this->Form->create(); ?>
// または
<?= $this->Form->create(NULL, ['type' => 'POST']); ?>

<?= $this->Form->create(); ?>

// または

<?= $this->Form->create(NULL, ['type' => 'POST']); ?>

出力される HTML。_csrfToken の hidden フィールドが埋め込まれる。

<input type="hidden" name="_method" value="POST"/>
<input type="hidden" name="_csrfToken" value="449d2559e20c55bbd5b6cb61a1578300071653fc"/>

1 2	<input type="hidden" name="_method" value="POST"/> <input type="hidden" name="_csrfToken" value="449d2559e20c55bbd5b6cb61a1578300071653fc"/>

フォームヘルパー（$this->Form->create）を利用して、POST method となるフォームをビューで作成すると、CSRF 対策トークン用の hidden フィールドがフォームに追加されます。

試してみましたところ、以下のように GET method のフォームでは、CSRF 対策トークンの hidden フィールドは追加されませんでした。

<?= $this->Form->create(NULL, ['type' => 'GET']); ?>

1	<?= $this->Form->create(NULL, ['type' => 'GET']); ?>

以上です。

私は Ruby on Rails の前は、PHP & CakePHP を使っていました（今も使いますけど）。PHP についてはオライリーの本を中心に軽く10冊以上は読み込みました。