CookieのSameSite属性で「防げるCSRF」と「防げないCSRF」 - まったり技術ブログ

テクノロジーカテゴリーの変更を依頼記事元:

blog.motikan2010.com

1 userがブックマークコメント

コメントを保存する前に禁止事項と各種制限措置についてをご確認ください

0 / 0

twitterアカウントが登録されていません。アカウントを紐づけて、ブックマークをtwitterにも投稿しよう！登録する

現在プライベートモードです設定を変更する

記事へのコメント0件

人気コメント
新着コメント

新着コメントはまだありません。
このエントリーにコメントしてみましょう。

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

<iframe marginwidth="0" marginheight="0" src="https://b.hatena.ne.jp/entry.parts?url=https%3A%2F%2Fblog.motikan2010.com%2Fentry%2F2019%2F02%2F02%2FCookie%25E3%2581%25AESameSite%25E5%25B1%259E%25E6%2580%25A7%25E3%2581%25A7%25E3%2580%258C%25E9%2598%25B2%25E3%2581%2592%25E3%2582%258BCSRF%25E3%2580%258D%25E3%2581%25A8%25E3%2580%258C%25E9%2598%25B2%25E3%2581%2592%25E3%2581%25AA%25E3%2581%2584CSRF%25E3%2580%258D" scrolling="no" frameborder="0" height="230" width="500"><div class="hatena-bookmark-detail-info"><a href="https://blog.motikan2010.com/entry/2019/02/02/Cookie%E3%81%AESameSite%E5%B1%9E%E6%80%A7%E3%81%A7%E3%80%8C%E9%98%B2%E3%81%92%E3%82%8BCSRF%E3%80%8D%E3%81%A8%E3%80%8C%E9%98%B2%E3%81%92%E3%81%AA%E3%81%84CSRF%E3%80%8D">CookieのSameSite属性で「防げるCSRF」と「防げないCSRF」 - まったり技術ブログ</a><a href="https://b.hatena.ne.jp/entry/s/blog.motikan2010.com/entry/2019/02/02/Cookie%E3%81%AESameSite%E5%B1%9E%E6%80%A7%E3%81%A7%E3%80%8C%E9%98%B2%E3%81%92%E3%82%8BCSRF%E3%80%8D%E3%81%A8%E3%80%8C%E9%98%B2%E3%81%92%E3%81%AA%E3%81%84CSRF%E3%80%8D">はてなブックマーク - CookieのSameSite属性で「防げるCSRF」と「防げないCSRF」 - まったり技術ブログ</a></div></iframe>

プレビュー

規約違反を報告

CookieのSameSite属性で「防げるCSRF」と「防げないCSRF」 - まったり技術ブログ

CookieのSameSite属性はCSRF 対策のために提案されたもので、その属性をCookieに付与するだけでほとんど... CookieのSameSite属性はCSRF 対策のために提案されたもので、その属性をCookieに付与するだけでほとんどのサイトの場合はCSRF 対策が可能になります。しかし、SameSite属性の付与が今までのCSRF 対策の代わりになり、今まで行ってきたCSRF 対策をしなくてよくなるというわけではありません。 CSRF 対策の為に提案された属性ですが、サイトの特性によってはCSRFを防ぐことができない場合があります。今回は、その「防げないCSRF」とはどういったものであるのか、一例をあげます。そして実際にSameSite属性付与が付与される脆弱なサンプルサイトを使って説明していきます。目次目次 TL;DR サンプルアプリケーションを用いての検証サンプルサイトの機能 CSRFの確認 CSRF トークンを用いている場合 SameSite属性を用いている場合まとめ TL;DR 「防げる