「Double Submit Cookie」はOWASPが提唱するCSRF対策の1つです。 しかし「安全なWebアプリケーションの作り方」の著者である徳丸さんは、ブログで次のように指摘しています。 Double Submit Cookieは、サーバー側で状態を保持する必要が無いため、RESTとの相性が良いというのも最近好まれる理由かと思いますが、外部からクッキーを変更されないことを前提しているところが微妙なところです。 IEのクッキーモンスターバグはWindows 10で解消されていた | 徳丸浩の日記 サーバーレスアプリケーションのCSRF対策でDouble Submit Cookieを検討されている人(私もそう)には残念ですが、他の方法を考えた方が良さそうです。 OWASPのDouble Submit Cookieの項を翻訳したものを載せておきます。 翻訳 If storing the