--【利用環境】--------------------------
EC-CUBEバージョン 2.11
OS WindowsVista
ﾌﾞﾗｳｻﾞ IE9
---------------------------------------

初心者です。
現在2.11を利用し、サイト構築中のものです。
新規ページに商品カテゴリー欄を作り、カゴに入れるボタンをぜひとも設置したいと思っています。
2.44の方法ではどうしてもうまくいかず悩んでいます。
ぜひ、皆様の力をお貸し頂けないでしょうか？

▼こちらも参考にしたのですが、うまくいきません。
http://xoops.ec-cube.net/modules/newbb/viewtopic.php?topic_id=7990&forum=10&viewmode=flat&order=ASC&start=0

▼この記載だと・・・

<form name="form1" id="form1" method="post" action="/products/detail.php?product_id=1">
<input type="hidden" name="mode" value="cart" />
<input type="hidden" name="product_id" value="1" />
<input type="text" size="5" name="quantity" class="box54" value="1" maxlength="16" style="" />
<input type="submit" value="カゴに入れる" />
</form>

-----------------------------------
そのページ移動は不正です。
-----------------------------------
と表示されてしまいます。

phpの追記なども必要なのでしょうか？

ヒントでも結構です。
何卒、アドバイスをお願いいたします。

ヒント:

CSRF
transaction_id
HTTP_REFERER
http://xoops.ec-cube.net/modules/newbb/viewtopic.php?topic_id=7979&forum=2

----------------
Seasoft
こちらでの投稿は、アイディア程度に留めさせていただいております。
個別案件の作業は有償で承っております。お気軽にご相談ください。

返信ありがとうございます。

ヒント：

CSRF
transaction_id
HTTP_REFERER
http://xoops.ec-cube.net/modules/newbb/viewtopic.php?topic_id=7979&forum=2

確認させていただきました。

何しろ初心者なもので十分理解できたわけではないのですが、つまりCSRFの脆弱性対応で、できるけれども、やらないほうがよいということでしょうか？

少し詳しくお教え下さい。

> 何しろ初心者なもので十分理解できたわけではないのですが、つまりCSRFの脆弱性対応で、できるけれども、やらないほうがよいということでしょうか？

判断は難しいと思いますが、サイト毎のポリシーに依存する範囲だと思います。

セキュリティと利便性は、現実的には結構相反し易いもので、ビジネス的にはバランスも重要だと思います。

ある程度というセキュリティであれば、前述の URL で言及しているような HTTP_REFERER を利用するといった方法も考えられると思います。

やる気になれば、EC-CUBE のサイト外が起点でも、transaction_id を引き回す手法もあります。しかし、色々複雑なことをやって、新しい不具合・脆弱性を作っては本末転倒ですし・・・

----------------
Seasoft
こちらでの投稿は、アイディア程度に留めさせていただいております。
個別案件の作業は有償で承っております。お気軽にご相談ください。

返信ありがとうございます。

まだ勉強不足なうちに、いろんなことをやると返ってお客様にご迷惑がかかることと思いました。

質問してよかったです。
ありがとうございました。