過去の議論はこちら 一般的に言われている対策と実際の有効性についてはこちら 一般にCSRFはセッションの利用に伴う脆弱性なのだから、予測不能な文字列を生成してhiddenとセッション内(PHPセッションの場合$_SESSION内)に入れておき、完了画面でこの2つを照会する方法が簡便で堅牢だと考えられる。(要はセッションを使ったワンタイムトークン方式)。 この対策だけでも充分だが、hiddenを横取りされた場合に発生する脆弱性に備え、Cookieでも比較を行う。 実際のコード // 確認画面 session... > このページを見る
はてなブックマークはオンラインでブックマークを管理・共有できる無料サービス。自宅、職場、外出先、どこからでも同じブックマークにアクセスできます。ユーザーはみんなでブックマークを共有して効率良く情報収集しています。あなたもはてなブックマークを始めてみませんか?
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由, hiddenパラメタは漏れやすいのか?
9 users
おさかなラボ / Blog Archive / hiddenにセッションIDを埋めるのは本当に安全なのか
2 users
おさかなラボ / Blog Archive / CSRF対策法と効果
21 users
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由, hiddenパラメタは漏れやすいのか?
260 users
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
131 users
高木浩光@自宅の日記 - hiddenパラメタは漏れやすいのか?
17 users
【PHPカンファレンス2006】PHPで書かれた実際のアプリケーションに潜む危険なコード:ITpro
156 users
Part3 セキュアWebプログラミング入門:ITpro
45 users
まだまだあるクロスサイト・スクリプティング攻撃法:ITpro
318 users
今夜分かるSQLインジェクション対策 ― @IT
585 users
PHP と Web アプリケーションのセキュリティについてのメモ
915 users
enhanced by Preferred Infrastructure
![情熱大陸×米村でんじろう・さかなクン [DVD]](http://ecx.images-amazon.com/images/I/51tSmxMxR7L._SL75_.jpg)
はてなブックマーク
