エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
CSRF対策としてのトークンについて - purazumakoiの[はてなブログ]
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
CSRF対策としてのトークンについて - purazumakoiの[はてなブログ]
お問い合わせフォーム送信時のCSRF対策について調べました。 おもにPHPでの実装の時用。 といってもPHP... お問い合わせフォーム送信時のCSRF対策について調べました。 おもにPHPでの実装の時用。 といってもPHPにかぎらずですが。 CSRF対策の疑問。 大まかに ワンタイムトークンを使うべきか(ワンタイムである必要はない? セッションIDをそのままトークンに使ってもOK?ハッシュ化する必要ある? 結論 お問い合わせフォームにはワンタイムトークンでよい。 ベースとなる文字列は擬似乱数生成系が良い(基本的にはセッションIDを使えば良い) PHPの場合は5.3以上ならopenssl_random_pseudo_bytes使っても良い。 ちょっと心配ならセッションIDをベースにSHA256でハッシュ化を1回といったところでしょうか。 PHPでのワンタイムトークンの実装例 redwarcueidのおぼえがき(´_ゝ`): ワンタイムトークンの生成とチェック トークンの半券とオリジナルを生成して、送信時