セキュリティ強化に、ページ使い捨てのIDを導入したいんだけど、ajaxで悶絶。どうやってcookieを食わせりゃええんだ。

セッションIDの考え方は簡単で。

1

ランダムな一意の文字列をテキトーに保存。

2

１で作った文字列をformに仕込んで送信

3

送られてきた文字列と保存しておいた文字列が同じだったら、１→２→３、と正常なページ遷移。そうじゃなければ、なんかエラー。

この「保存」てところ、サーバー側のDBとユーザー側のcookieに保存するのが常識というか定番というか。ところがajaxの場合、ページ遷移がフツーじゃないんで、おそらくjavascriptであれこれ細工が必要になる、のかな。…cookieの中身が親の古い文字列になってる、ぢゃん。

どうやら、ハマったくさい。

んでもって、javascriptはほとんどわからない、ときたもんだ。しょうがないんで、別の細工を試してみる。CPANから持ってきたApache::SessionとかCGI.pmとかソースを覗いてみてはあれこれと。…うううむ、ちょっと難航しそうな予感。

にしても暑い。ほんとうに暑い。

亀有南口にあるRAJ（ラーゾ）というカレー屋が最近の我が家のブーム。ほんとうに美味いんだ。詳しいことはわかないけど、インド北部からネパール系のカレーかも。ナンもマサラナンとかカブリナンとか変わりダネがあって、それだけでも食べる価値がある。値段もリーズナブル。

今日も昼飯はラーゾでカレーだ。

[07/06 21:49:21]

うううむ。やっぱりハマり。

同じページで複数のajaxコンテナがあるような場合に、やっぱりcookieの設定がうまくいかない。そりゃそうだ…。

乗っ取りや成りすまし防止のため、ページ遷移さえ把握できればいいので、cookieにこだわる必要はない、かもしれない。送信されてきたformの値がひとつ前のページの値かどうか、を判断できればいいワケだしなあ。

『Webデザイナーのための jQuery入門　魅力的なユーザーインターフェースを手軽に作る』

高津戸 壮