はじめに 2017年、ついにOWASP Top 10が更新されました。筆者が一番印象的だったのは「Top 10にCSRFが入っていない」ということです。 なぜCSRFが圏外になってしまったのかは4ページのリリースノートで軽く説明されています。「retired, but not forgotten」つまり「引退したね...でも君の事は忘れてないよ」という感じでしょうか。全米がCSRFのために泣きそうです。 それはさておき、具体的には「as many frameworks include CSRF defenses, it was found in only 5% of applications.」という部分が引退理由だと思われます。「多くのフレームワークがCSRF対策を備えた結果、5%のアプリケーションにしかCSRFは見つからなかった」というのが引退の理由です。 この理由を読むと、「というこ
![さよならCSRF(?) 2017](https://cdn-ak-scissors.b.st-hatena.com/image/square/9b89f008600b307cd3b2f30b477662d804a664f2/height=288;version=1;width=512/https%3A%2F%2Fwww.scutum.jp%2Finformation%2Fwaf_tech_blog%2Fimages%2Famp_thumbnail.jpg)