skillup

技術ブログ

プログラミング全般

トランザクショントークンについて

投稿日:2016年6月8日 更新日:

フォーム画面で入力を行うときにはPOSTでデータを受け取ってエラーチェックしたり、データベースに入力をしたりします。

ただその時に何も考えずに安易に送信→受信の際に以下のようなトラブルがあり得ます。

  • 二重投稿(ボタンを二回押してしまう)
  • 完了画面でリロードしてしまう
  • 入力→完了画面に遷移した後で、ブラウザの「戻る」ボタンで入力画面に戻ったのちに送りなおす。

このような処理を防ぐ目的で「トランザクショントークン」という手法が使われます。

以下がトランザクショントークンの大まかな流れです。

  1. まず画面読み込み時に不規則な文字列を生成する(これをトークンといいます。)
  2. トークンをセッションに登録、同時にHTMLにもhiddenで持たせる
  3. ユーザーが投稿したときにはPOSTでトークンが送られる
  4. リクエストがPOSTの時は送られたトークンがセッションの中に入っているトークンと合致するかをチェックする。(合致した場合は正常な遷移)
  5. セッションのなかのトークンを削除し、1に戻る

この方法であれば正常な遷移の場合は、セッションのトークンとPOSTのトークンが合致しますが、不正な画面遷移では合致しないか、セッションのトークンがない、という状態になります。

上記のような実装を行うことで安全なフォームの遷移を実装することができます。

参考リンク

ECCUBEのソース

さいきょうの二重サブミット対策

FORMのリロード対策1

-プログラミング全般

執筆者:


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

no image

コードの見た目について

リーダブルコード4章。コードの見た目について。 自分は結構注意されますね。多いパターンとしては空白の位置などがいい加減だったり、今はありませんが、以前はコードの末尾にスペースを空けてセミコロンをうつ変 …

no image

webの仕組み その1 Webの基本的なイメージ

Webの仕組みについて基礎からちょっと勉強しようかと。自分用なのでまとまってません(爆) Contents1 Webの基本的なイメージ2 HTTPメソッド Webの基本的なイメージ ネットワーク上のリ …

no image

正規表現その2

10/28に書いた正規表現に関しての追記です。 Contents1 覚えておきたいメタ文字2 留意点 覚えておきたいメタ文字 よく出るメタ文字の復習です。 メタ文字 メタ文字の説明 [] いずれかの1 …

no image

テスト環境のデータ作りに関して

単体テスト以降の環境ですとテストのデータを作ることがなかなか大変だと思います。マスタなどはそのままもらうこともあると思いますので、主にトランザクションデータについて。 以前もこのネタに関しては色々書い …

no image

新しいプロジェクトに入った時にやること

新しいプロジェクトに入った時に最初にすべきことややっておくことなど Contents1 仕様理解編1.1 ユーザーの行動遷移の理解1.2 キー系のデータの理解1.3 データグルーピング1.4 サンプル …

アーカイブ