クロスサイトリクエストフォージェリって?

投稿日: 作成者:
はてなブックマーク - クロスサイトリクエストフォージェリって?
このエントリーをはてなブックマークに追加
Share on Facebook

今日覚えた言葉。

事象としては知ってたけど、こういう名前だったんだね。

wikipedia大先生によると、

クロスサイトリクエストフォージェリ(Cross site request forgeries, 略記:CSRF,またはXSRF)とは、WWWにおける攻撃手法の一つ。 具体例として、掲示板に意図しない書き込みをさせられたり、オンラインショップで買い物をさせられたりするなどの被害が起こる。

ということでした。

おいおいなんか物騒だなということですが、具体的には、任意のHTTPリクエストを送信させられることができる。

好きなページへPOSTとかGETを送ることができるってこと。

怖いですねー。もし、商品の購入ページとかだったら大変です。

Webサイトの管理者側(例えば商品購入ページ)でできる対応は、

1.もう1回、IDとパスワードを入力させる。
2.この画面の前のページ(例えば商品選択ページ)でなんか文字列とかキーを発行して、それの整合性をチェックする。(正しく遷移してきたクライアントのみ機能させる)

といったところでなんとかできるみたい。

気をつけましょー。

コメントをどうぞ

メールアドレスが公開されることはありません。

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <img localsrc="" alt="">