高木浩光＠自宅の日記 - クロスサイトリクエストフォージェリ（CSRF）の正しい対策方法

■ クロスサイトリクエストフォージェリ（CSRF）の正しい対策方法 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古く から存在したこの問題がなぜ今まであまり注目されてこなかったかについて考 えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策 方法について書いておくとする。 クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。 前提 ログインしていないWeb閲覧者に対するCSRF攻撃（掲示板荒らしや、ユーザ登 録を他人にさせる等、サイト運営者に対する業務妨害行為）はここでは対象と しない。 ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション 追

[kamip]

クロスサイトリクエストフォージュリ対策。

[hysa]

CSRF

[twainy]

データ変更を処理させるページの前のページにセッションIDを入れておいて、クッキーと同一かどうかをサーバサイドでチェックを行う

[Akaza]

プレゼンすることになるかもしれないので、念のため復習

[ywatase]

csrf対策

[reachout]

簡潔で解りやすい、さすがだなー

[MinazukiBakera]

いわゆる高木方式

[snsn9pan]

CSRFに対する対策をいろいろ読んだけど、この人が言ってることが一番わかりやすいし、納得も出来る。そーなんすよ。

[webmarksjp]

security

[drk7jp]

CSRF

[todogzm]

CSRFについての説明

[nilab]

高木浩光＠自宅の日記 - クロスサイトリクエストフォージェリ（CSRF）の正しい対策方法 : ひとつ前のページでセッションIDを埋め込んでおいて処理のページで一致するか確認

[pero1]

［WEB][WAS]

[dotgram]

CSRF

[ni-man]

WEB認証

[TakamiChie]

φ(._.) メモメモ、セッション管理は大事だなぁ。

[YasSo]

CSRFは理解した(つもり)。対策方法に関しても納得。

[hiro_y]

セッションIDをフォーム経由で確認する。

[Horiuchi_H]

正しい対策方法

[syachonosaru]

対策

[nazoking]

セッションIDをフォームでもやりとりしてその一致を見ればよい

[tsupo]

@ITの記事などのように混乱させる解説も散見されるので、一点だけ対策方法について書いておくとする。

[uemu]

実装時にはここをもう一度よむ

[shioki]

高木さんお勧めの方法

[wacky]

これは覚えておくべき！

[rAdio]

かけだしのひよっこwebプログラマにとっては、よくよく気を付けておかないとうっかり見落としがちです…。

[Yuichirou]

CSRFに対する最も適切な対処法。

[h5y1m141]

クロスサイトリクエストフォージェリについての解説

[facet]

* （続く）

[nobody]

←まとめサイト([http://b.hatena.ne.jp/nobody/?word=entry%2F164894])([b:entry:166131])。entry/164894 CSRF。