【CFiltering】nonceチェックをせずにAjaxアクセスする場合にリファラをチェックするかどうか

Ajaxによるアクセス時に、CSRFという攻撃を防ぐためにnonceチェックを行います。

nonceチェックは通常アクセス時にページに埋め込んだnonce値を使用しますが、ページキャッシュの有効期限を一日以上にしている場合、ページに埋め込まれたnonceの有効期限が切れる場合があります。

ページキャッシュを考慮するかどうかが有効の場合、nonce値をAjaxアクセスで取得することで上の症状を回避しています。

この設定が有効の場合、そのAjaxアクセスがサイトから発行されたされたものかどうかをチェックします。

この時使用されるホスト名はリファラチェックに使用する$_SERVER[“HTTP_HOST”]の値で変更可能です。

デフォルトはtrueです。