開発者のための正しいCSRF対策

著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz

[junk-boy]

“ トークンをセッションと結びつけた形でサーバー側で保存する。いわゆるセッションオブジェクトに格納するのが分かりやすい方法だ。 hiddenフィールドにトークンを格納したレスポンス1をクライアントへ送信する。この

[moerrari]

2006年の記事。

[miguchi]

CSRF対策

[hagurinhagurin]

CSRF対策

[ats2019]

ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を

[F0ro]

古典メモ

[love0hate]

どうやったらトークンが漏洩するんだろう、シチュがわからん。あとトークンを独立して扱うべきて書いてあるが、SIDのsalt付きハッシュで十分だと思うな。てかSID漏れた時点でゲームオーバだと思うけどね。

[asari3]

このページ自体議論の的になったそうだ。さておき、今回の事件では「被害がいたずらのレベルに止まるケースが多いと考えられるため、本稿では対象としない」部分が問題になってしまった。

[gologo13]

開発者のための正しいCSRF対策 (via Instapaper)

[bigchu]

; CSRF

[red_snow]

改めて

[itachisoft]

「そのほとんどが誤りを含んでいたり」←例えばこのページ

[kikuzou]

金床さん

[pmint]

突っ込みどころが多すぎ（笑。「キャッシュがあるからGETは危険」って？タブブラウザーを知らない？なぜ「正しい」と思えるのか。他人を見下す人格のせいか。「2つにすればいい」って発想は「CGIレスキュー」レベル。

[tokuhirom]

@sartak

[kaito834]

CSRF対策をまとめた記事。はてぶのコメントより、公開当時に多くの意見等が出た模様。あわせて読む：http://tinyurl.com/2g3bkr3

[labocho]

xsrf

[mr_daniel]

好評を受けているサイトらしいです。

[takkada]

開発者のための正しいCSRF対策。

[kamip]

CSRF対策

[daidaiiroda]

st|CSRF対策|独立性、機密性の高いトークンを2つを段階的に使ってよく考えよう

[aeg]

CSRF対策の基本的考え方がわかる

[drs144]

セキュリティ　ワンタイムトークン　CSRF対策

[papiro]

by Twitter

[lamich]

[

[buty4649]

CSRF攻撃

[Shinji_041]

セキュリティ

[hurvinek]

CSRF対策．／ワンタイムトークンは，二重投稿防止のために自然と使っていた．

[webmarksjp]

csrf

[unieye51]

開発者のための正しいCSRF対策　ワンタイムトークン