クロスサイトリクエストフォージェリ(CSRF)[トークン]クロスサイトリクエストフォージェリ(以下CSRF)とは、攻撃者があるウェブページを作り、そこに訪れた第三者に対して罠をしかけたリンクを踏ませ、知らないうちに別のサイトへ書き込みを行わせるといった攻撃法です。つまり、サイトをまたがって(クロス・サイト)、偽物(forgery)のリクエストを送るという手法です。 パソコン遠隔操作事件では、このCSRFの罠にはめられた被害者が、知らぬうちに横浜市の公式ページに書き込みを行っていたという被害が出ています。 CSRFの対策は、送信されてきたデータが、正規のフォーム画面からのデータなのかを判定することによって行います。 今回は、セッションIDをハッシュ化したトークン(固定トークン)を利用することによる判定を行います。 仕組み まずユーザがフォーム画面にアクセスしてきたら、サーバ側でセッションIDを元にして作成したトークンを発行します。それと同時にそのト
