こんにちは。 # メールの件名が「セッションで制限しているページが見えてしまう」 # となっているので騙されてるんだと思いますが。 (1)http://example.com/A.php を表示 このとき $_SESSION['abc'] = 1; する。 (2)ローカルのhtmlに <a href="http://example.com/B.php">Bへ</a> と書いて保存&(1)のブラウザで表示& リンクをクリック (3)http://example.com/B.php を表示 ということを行ったときに、 (3)の時点で、 $_SESSION['abc'] に 1 が見えるのは当たり前の話ですね。 # セッションというのはそういうもの。 もし、この挙動を見て、 ローカルのhtmlにアクセスしたのに B.phpでセッションの中身が見えるのはおかしい。 と思ってPHP-usersに質問したのであれば、 HTTPプロトコルとかセッションとかcookieについて 知識を補った方がよいと思います。 CSRFについて調べるにしても、そのあたりが わかっていないことには、もやもやとしか見えないと思います。 あと、セキュリティというくくりでいうならCSRFはごく一部の話なので、 個人的には、本でまとまった情報を読んでおくのがお勧めです。 -- goungoun <gounx2 @ gmail.com> http://goungoun.dip.jp/app/