BackendがSpringBootの場合にCSRF対策をどう実現するかという対話
Tada🎉 @suke_masa 新しく作ったSpring Bootの研修テキスト!これは完全にREST・SPAに特化したもの。なのでThymeleafとかはやらない。SPAではSecurityがちょっと難しくなるので、ボリューム多めにしてある。 pic.twitter.com/5mRdDN9h6H Tada🎉 @suke_masa @backpaper0 @poponuki 第8章ははじめてSpring Securityを扱う章なので、簡単化のために無効化してます。(「本番では無効化しないでね!後で説明するよ!」という説明もしています) 第10章では普通に有効化(csrf())した上で、CSRFトークン保存先をCookieに変更してます(SPA前提のため)
Razor を利用した MVC での CSRF 対策 - ASP.NET 入門
ここではセキュリティ対策のひとつとして、クロスサイトリクエストフォージェリ (Cross-site Request Forgery, CSRF または XSRF) 対策について説明します。 CSRF がどのようなものであるか、ということについては、説明が長くなるのでここでは説明を割愛します。 しかしながら、CSRF 対策として「そのセッションだけに有効なトークンをフォームに埋め込むことが有効である」ことだけは、頭に入れて置いてください。 それを前提として、ASP.NET の MVC (Razor ビュー) でアンチ・クロスサイトリクエストフォージェリ・トークンをどのように埋め込むのか、そして、それをどのように使うのか説明します。 CSRF 対策を施していない場合の動作確認 まずはじめに、何も CSRF 対策を実施していない場合の挙動を確認しましょう。 ASP.NET の MVC Web ア
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
