クロスサイト・リクエストフォージェリ(以下CSRF)がどういうものかの説明や 対策についてネットに散在しているが、実際に関わったプロジェクトで対策を行う機会があったので書いてみた。 ■まずはCSRFの概要について クロスサイト・リクエストフォージェリ(以下CSRF)の概要 アプリケーションが機能を実行する際、サーバーで受け取ったリクエストが 送信者の意図したものであるかの確認処理が十分でない事が原因で発生する問題。 CSRFが行われると送信者の認知しない所で情報を操作されてしまう。 ■発覚した脆弱性 対象となるウェブアプリケーションではログイン時に生成したセッションIDをcookieにセットし、 ユーザの識別や権限の評価を行っていた。 セッションIDの有無に頼った実行権限のチェックのみであったため、 ユーザが意図しない機能を実行するリクエストを送信させられた場合、 ユーザの意思に反して機能