＜前回のお話＞　わかばちゃんのブログに，覚えのない日記が書かれていた。パスワードが盗まれたと思いきや，どこかのサイトに自動的に日記を書かせるプログラムが仕込まれていて，それを知らずにリクエストしてしまったためという。怪しいリンクはクリックしないよう心がけているのに…どうして？

※　src：

画像の場所を指定する属性。相対パスではなくURLで書けば，他のドメインにある画像を表示することも可能。つまりURLに対してGETリクエストを行う（閲覧者に行わせる）お手軽な手段とも言え，これを用いてなんらかの攻撃が行われることもしばしば。

まとめ

このように，imgタグなどによって，閲覧者のブラウザからどこかのURLへ任意のリクエストを「送らせる」ことは簡単にできてしまいます。しかも，それで発生するリクエストは，閲覧者自身がリンクをクリックしたときとなんら変わりはありません。では，これを攻撃として用いられた場合（つまりCSRF⁠）⁠，Webプログラム側ではどのように防げばよいのでしょう。

きっとまっさきに思いつくのは，「⁠POSTリクエストを使うようにする⁠」⁠，あるいは「リファラヘッダ（リンク元が記載されているヘッダ行）のチェックを行う」などでしょうか。しかしそれだけでは不完全なのです。単純な攻撃ですが，対策するとなると意外と難しいのがCSRFです。次回はそのあたりに，わかばちゃんが踏み込んでいきます。しかも水着で…！ お楽しみに！

CSRFについて学んだわかばちゃん。その対策方法とは？
次回，乞うご期待！