濃縮還元オレンジニュース

開発者のための正しいCSRF対策

この記事を読むのに必要な時間:およそ 0.5 分

CSRFはクロスサイトリクエストフォージェリの略でWeb攻撃手法の1つです。mixiの日記に勝手な書き込みがされてしまう「はまちちゃん」で有名になりました。

この記事では,オープンソースのWebアプリケーションファイアウォール「Guardian@JUMPERZ.NET」の作者である金床氏が,正しい対策,誤った対策について詳しく解説しています。記事では「ワンタイムトークンを使う」対策を推奨していますが,実装が簡単ではありません。現在でもSea Surfersメーリングリストにて,より簡単で正しい対策方法について議論が続いています。

URLhttp://www.jumperz.net/texts/csrf.htm

著者プロフィール

角田直行(かくだなおゆき)

普段はお仕事でPHPやJavaを使ってWeb開発をしています。一部でセレブエンジニアとか言われてますが,全然セレブじゃありません。

コメント

コメントの記入