また旅

日々のこと、画面の中でのこと (今はIDCFクラウド、KUSANAGI、WordPress、Vagrant及びCodeIgniter).

PHP

CodeIgniter 3のCSRF対策についての疑問

application/config/config.phpを下記の設定にすると機能する組み込みのCSRF対策について

$config['csrf_protection'] = TRUE;

POST送信のあとでクッキーとフォームから送信されたトークンを比較してるだけなのですが……よく見かけるトークン作って、セッションに格納してって流れではなく。そもそもセッションを有効にしてなくても動くのですが。

何か間抜けな勘違いをしてそうで不安でいっぱいです。

試しにクッキーの値を77777777777777777777777777777777に書き換えたり(要リロード)、file_get_contentsで77777777777777777777777777777777をクッキーとともにPOSTしてみたりしたのですが、正常にPOSTされるのですが、何でだ~?分かんね~。

-PHP