ワンタイムトークンは不要では (#913853) | 正しいCSRF対策、してますか? | スラド金床氏の提案する対策(「正しい対策その1: ワンタイムトークンを正しく使用する方法」)は、主に次の二つから成ります。リクエスト1とかレスポンス1とかの意味は金床さんのページ [jumperz.net]を参照してください。 リクエスト1を POST にする(リクエスト1がGETだったらサーバーはエラー等を返すようにする) ワンタイムトークンを使用する。詳しくは、 (a) 処理1でワンタイムトークンを生成する。 (b) レスポンス1に含まれるフォームにトークンを hidden フィールドとして追加する。 (c) 処理2では本来の処理(日記にデータを追加する等)の前に、 cookie として送られてきたセッション ID と hidden フィールドとして送られてきたトークンの組み合わせが正当であることを確認する 1は CSSXSS 脆弱性の悪用を防ぐために必要です。金床氏自身もまず、アプリケーシ
