CSRF対策とは

CSRF【 Cross Site Request Forgeries 】/ XSRF
クロスサイトリクエストフォージェリ

forgery:偽造、贋造(がんぞう)、偽物、文書偽造罪

CSRFとはWebサイトにスクリプトや自動転送(HTTPリダイレクト)を仕込むことで
閲覧者に意図せず別のWebサイト上で何らかの操作を行わせる攻撃。

サーバ側でCSRFを防ぐには、サイト外からのリクエストの受信を拒否する必要がある。
ヘッダに含まれる情報を元に参照元が正規のページかどうかをチェックしたり、
フォームの一部にランダムな数値を隠しておいてアクセスの一貫性をチェックしたり、
コンピュータが読み取れないよう画像として表示したチェックコードの入力をユーザに要求するなどの手法があり、これらを組み合わせて対策を講じる必要がある。

クロスサイトスクリプティング (XSS) と似ているが、
XSSは不適切な入力確認によるインジェクションのひとつで全く異なる種類の攻撃。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です