おさかなラボ - CSRF対策法と効果

暮らしカテゴリーの変更を依頼記事元:

kaede.to/~canada

18 usersがブックマークコメント

コメント

5

記事へのコメント5件

注目コメント
新着コメント

hiro_y いろいろなCSRF対策まとめ。やっぱりワンタイムトークンかな。hidden/セッションだけではなくCookieにも入れるとより効果的。

security

2009/05/08 リンク

FTTH id:snsn9pan 現実的に無理なんじゃない？（セッション不可でクッキーだけ可、とか別として）

# |ω・）……

2009/05/07 リンク

hiromark まとまってそう。あとでちゃんと読む。

security

2009/05/07 リンク

snsn9pan セッション使えない環境では無理ってことになってしまわないか。

2008/08/08 リンク

kmachu 「クロスドメイン脆弱性やブラウザのキャッシュなどからセッションIDが漏れてしまうという問題がある」←クロスドメイン脆弱性の場合はセッションCookieが漏れるのでこれ以前の問題。あとはキャッシュか…。

2007/04/29 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

{{ total_bookmarks_with_user_postfix }}{{ root_title }}

おさかなラボ - CSRF対策法と効果

自分でもう一度整理するために、他のサイトに倣って現在挙げられているCSRF対策法とその効果を列挙して... 自分でもう一度整理するために、他のサイトに倣って現在挙げられているCSRF対策法とその効果を列挙してみる。ざっと書いたので多分ツッコミどころ満載だと思うがとりあえず公開。現在思いつく最善解は一番下に書いた。あとは順不同。 POSTを用いる推奨: とりあえず効果: あり回避法: あり(Javascriptによる自動Submitなど) 実装: 簡易副作用: なし確かにPOSTでのCSRFを破る手法は存在するが、だからといってこの対策に全く効果がないわけではない。完了画面への直接リンクでのCSRFの発生は抑制できる。実装が簡単な上、副作用が特にないので実装しておいて別に損はない。リファラ(Referer: ヘッダ)をチェックする推奨: ケースバイケース効果: 大回避法: 特になし実装: やや難(コードに汎用性を持たせるのが難しい) 副作用: ブラウザ

ブックマークしたユーザー

yass2011/10/05
gami2011/10/03
Cherenkov2011/03/08
replication2010/08/12
lapis252010/05/24
konfoo2010/05/14
Akaza2010/01/18
hiro_y2009/05/08
FTTH2009/05/07
hiromark2009/05/07
snsn9pan2008/08/08
suttang2008/05/14
elm2002008/02/07
kmachu2007/04/29
higeorange2007/04/08
cybo2006/12/06

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - 暮らし

いま人気の記事 - 暮らしをもっと読む

新着記事 - 暮らし

新着記事 - 暮らしをもっと読む

設定を変更しましたx