kawama.jp

session.use_trans_sidがOnだと、別ドメインへのformでもhiddenにセッション情報を埋め込んでしまう

カテゴリ: Ajax,JavaScript,PHP — タグ: , , , — 2010年12月17日 21:37 — Comments (0)hatebu count

session.use_trans_sidをOnにしているサイトで、formのaction先が別ドメインのサイトなのにも関わらず、hiddenにセッションIDを付加してしまう、という問題に遭遇しました。

session.use_trans_sidは外部ドメインへのformタグにも無差別に付加する

けっこう面倒な問題。セキュリティ的にもかなりマズイです。

上記のページではurl_rewriter.tagsを使った解決策をとっていますが、今回はjqueryのremove()でhiddenタグを削除するという方法を考えてみました。

$('#form1 input:hidden[name=session_name]').remove();

当然携帯サイトなどでは使えませんが、javascriptがOffだと送信できないフォームなので、この方法を使ってみました。

コメントはまだありません »

No comments yet.

RSS feed for comments on this post. TrackBack URL

Leave a comment

Copyright (C) 2002 - 2017 kawama All Rights Reserved. — Powered by WordPress