💬
セキュリティ
scriptタグの攻撃を防ぐ
tmlspecialchars
重ねて表示されている。
クリックジャック
参考
X-FRAME-OPTIONSを付ける方法とは
「X-Frame-Options」 ヘッダを含めておくことで、ブラウザがこの値を解釈し、
クリックジャッキングを防止する(iframe内の表示を制御)手法があります。
ヘッダの値としては、
DENY:フレーム内のページ表示を全ドメインで禁止
SAMEORIGIN:フレーム内のページ表示を同一ドメイン内のみ許可
ALLOW-FROM uri:フレーム内のページ表示を指定されたドメインに限り許可
があり、用途に応じて設定が可能です。
サーバ側(Apache)で対応する場合
httpd.confに以下の内容を記載する。
##フレーム内のページ表示を全ドメインで禁止したい場合
Header always append X-Frame-Options DENY
プログラム側で対応する場合
・PHPの場合
/* フレーム内のページ表示を全ドメインで禁止したい場合 */
header('X-Frame-Options: DENY');
session
$_SESSION['キー'] = 値とします。
また、変数 = $_SESSION['キー']とするとセッション情報を取得できます。
session_start();ではじめて
<?php if ($_POST['csrf'] === $_SESSION['csrfToken']) : ?>
参考 sesionを使ったログインサービス
クッキーとセクションの違い ログイン情報を保存しておく時に使う
$_COOKIE ブラウザ事に保存 クロームとは
$SESSION サーバーに保存
Discussion