最近、CSRFによる掲示板への犯行予告の話が話題になっていますが、その中で「ウェブサイトが対策を怠ったため起きた」「ウェブアプリの脆弱性だ」のような記事やツイートをみかけました。 私は当該ウェブアプリの性質を鑑みると、ウェブアプリの脆弱性とは言い切れず、必ずしもウェブアプリ側で対策しなければならないものではないと考えているため、上記の記事やツイートを見て、違和感を覚えました。他の方々はどのような意見を持っているのか聞いてみたいと思い、普段書かない日記を書くことにしました*1。 そもそもCSRFについて認識がずれていると、意見がかみあわない可能性があるため、まずはCSRFとはナンゾヤというところから整理したいと思います。 CSRF とは何かの整理 CSRFの用語について CSRFとは、クロスサイト・リクエスト・フォージェリの略です。他のサイトを経由したリクエスト偽装的な意味合いでしょうか。
![巷で話題のCSRF攻撃は、ウェブアプリが対策すべきか - timeparkのそうなんよ日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/fc8f161a2bdb8d1e41b3673d4853a59c21429b1a/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Ft%2Ftimepark%2F20121020%2F20121020011921.png)