おさかなラボ - CSRF対策法と効果

自分でもう一度整理するために、他のサイトに倣って現在挙げられているCSRF対策法とその効果を列挙してみる。ざっと書いたので多分ツッコミどころ満載だと思うがとりあえず公開。現在思いつく最善解は一番下に書いた。あとは順不同。 POSTを用いる 推奨: とりあえず 効果: あり 回避法: あり(Javascriptによる自動Submitなど) 実装: 簡易 副作用: なし 確かにPOSTでのCSRFを破る手法は存在するが、だからといってこの対策に全く効果がないわけではない。完了画面への直接リンクでのCSRFの発生は抑制できる。実装が簡単な上、副作用が特にないので実装しておいて別に損はない。 リファラ(Referer: ヘッダ)をチェックする 推奨: ケースバイケース 効果: 大 回避法: 特になし 実装: やや難(コードに汎用性を持たせるのが難しい) 副作用: ブラウザ

[hiro_y]

いろいろなCSRF対策まとめ。やっぱりワンタイムトークンかな。hidden/セッションだけではなくCookieにも入れるとより効果的。

[FTTH]

id:snsn9pan 現実的に無理なんじゃない？（セッション不可でクッキーだけ可、とか別として）

[hiromark]

まとまってそう。あとでちゃんと読む。

[snsn9pan]

セッション使えない環境では無理ってことになってしまわないか。

[kmachu]

「クロスドメイン脆弱性やブラウザのキャッシュなどからセッションIDが漏れてしまうという問題がある」←クロスドメイン脆弱性の場合はセッションCookieが漏れるのでこれ以前の問題。あとはキャッシュか…。