とっても簡単なCSRF対策 - Qiita
【2021/10/15 追記】 この記事は更新が停止されています。現在では筆者の思想が変化している面もありますので,過去の記事として参考程度にご覧ください。 CSRFおよびその対策の仕組みに関してはこちら↓ これで完璧!今さら振り返る CSRF 対策と同一オリジンポリシーの基礎 - Qiita この記事は,PHPにおけるワンタイムトークンを用いた実装例を示すものです。執筆日が少々古いものになるのでご了承ください。 コメント欄の議論に関するまとめ 以下,XSS脆弱性が存在しない前提.この脆弱性があるとあらゆるCSRF対策がほとんど意味をなさなくなるので,まずここから潰しておくこと. セッション固定攻撃に対する対策 ログイン後にsession_regenerate_idを必ず実行する. ログアウト後にsession_destroyを必ず実行する. CSRF攻撃に対する対策 セッションIDを抜か
シングル・サインオンの構成
7 シングル・サインオンの構成 アクセス・システムのシングル・サインオン機能により、ユーザーは1回のログインで複数の保護されたURLまたはアプリケーションにアクセスできます。この章を読む前に、第4章「ポリシー・ドメインによるリソースの保護」に記載されている用語や概念をよく理解するようにしてください。 この章の内容は次のとおりです。 前提条件 シングル・サインオンの概要 シングル・サインオンのCookie シングル・ドメインのシングル・サインオン マルチドメインのシングル・サインオン アプリケーションのシングル・サインオン アイデンティティ・システムとアクセス・システム間のシングル・サインオン アクセス・システムでの偽装の有効化 シングル・サインオンのトラブルシューティング 7.1 前提条件 シングル・サインオンを構成するには、その前提条件として、アイデンティティ・システムとアクセス・システ
Rails で CSRF トークン検証エラーが出ることがある
自分で作った Rails 製ウェブアプリで出会った話ですが、ちょっと原因に悩んだので書いておきます。 概要 Rails 製のウェブアプリのログを眺めていると、しばしば CSRF トークン検証エラーが記録されていました。ログインページでログインする際にデータを POST したときに、 CSRF トークン検証エラーが出たようです。 状況的に、外部から攻撃を受けているわけではなく、ユーザーもブラウザからアクセスしたようでした。 結局のところ、バグなどではなく、期待される挙動だったのですが、ちょっと悩んだので書いておきます。 再現手順 ブラウザ起動後の初回アクセスで、ウェブアプリのページを複数同時に開くと発生します。 「複数同時」というのがポイントです。 具体的には、以下の手順で発生します。 準備として Rails 製ウェブアプリで POST を使う複数のページを、二つブックマークに登録しておきま
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
