CSRF対ç–用トークンã®å€¤ã«ã‚»ãƒƒã‚·ãƒ§ãƒ³IDãã®ã‚‚ã®ã‚’使ã£ã¦ã‚‚ã„ã„時代ãªã‚“ã¦ã€ãã‚‚ãã‚‚ç„¡ã‹ã£ãŸYou signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
CSRFã¨ã¯ - IT用語辞典
æ¦‚è¦ CSRF(Cross Site Request Forgeries)ã¨ã¯ã€Webブラウザをä¸æ£ã«æ“作ã™ã‚‹æ”»æ’ƒæ‰‹æ³•ã®ä¸€ã¤ã§ã€å½è£…ã—ãŸURLã‚’é–‹ã‹ã›ã‚‹ã“ã¨ã«ã‚ˆã‚Šåˆ©ç”¨è€…ã«æ„図ã›ãšç‰¹å®šã®ã‚µã‚¤ãƒˆä¸Šã§ä½•ã‚‰ã‹ã®æ“作を行ã‚ã›ã‚‹ã‚‚ã®ã€‚ 攻撃者ã¯ã‚るサイトã¸ç‰¹å®šã®ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’発生ã•ã›ã‚‹URL(Webアドレス)を用æ„ã—ã€ä½•ã‚‰ã‹ã®æ–¹æ³•ã§ã“れをå½è£…ãƒ»éš è”½ã—ã¦Web閲覧者ã«é–‹ã‹ã›ã‚‹ã€‚閲覧者ã¯æ°—付ã‹ãšã«ã€ã‚ã‚‹ã„ã¯ä½•ã®URLã§ã‚ã‚‹ã‹ã‚’誤èªã—ã¦é–‹ãã€æ”»æ’ƒè€…ã®æ„図ã—ãŸãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’発生ã•ã›ã¦ã—ã¾ã†ã€‚ URLã‚’é–‹ã‹ã›ã‚‹æ‰‹æ³•ã¯ã„ãã¤ã‹çŸ¥ã‚‰ã‚Œã¦ãŠã‚Šã€Webページやメール本文ã«ãƒªãƒ³ã‚¯å…ˆã«ã¤ã„ã¦è™šå½ã®å†…容を記載ã—ãŸãƒªãƒ³ã‚¯ã‚’è¨ç½®ã™ã‚‹ã€HTMLã®imgã‚¿ã‚°ã®ã‚ˆã†ã«ãƒšãƒ¼ã‚¸ã‚’é–‹ãã¨è‡ªå‹•çš„ã«URLãŒèªã¿è¾¼ã¾ã‚Œã‚‹ã‚¿ã‚°ã‚’悪用ã™ã‚‹ã€ãƒšãƒ¼ã‚¸ä¸Šã«URLã‚’èªã¿è¾¼ã¾ã›ã‚‹ã‚ˆã†ãªã‚¹ã‚¯ãƒªãƒ—ト(JavaScript)や自動転é€ï¼ˆHTTPリダイレクト)ãªã©ã‚’仕掛ã‘
XMLHttpRequestを使ã£ãŸCSRF(補足編) - 葉ã£ã±æ—¥è¨˜
XMLHttpRequestを使ã£ãŸCSRFå¯¾ç– - 葉ã£ã±æ—¥è¨˜ã‚’書ã„ã¦ã„ã¦æ€ã£ãŸã‘ã©ã€ã„ã¾ã„ã¡XHRを使ã£ãŸCSRF(ã¨ã„ã†ã‹ã‚¯ãƒã‚¹ã‚ªãƒªã‚¸ãƒ³é€šä¿¡)ã«ã¤ã„ã¦ç†è§£ã•ã‚Œã¦ã„ãªã„よã†ãªæ„Ÿã˜ã ã£ãŸã®ã§ã€ã¡ã‚‡ã£ã¨æ›¸ã„ã¦ãŠãã¾ã™ã€‚ã¨ã‚Šã‚ãˆãšæ—¥æœ¬èªžã®ãƒªã‚½ãƒ¼ã‚¹çš„ã«ã¯ã€HTTP access control | MDN ãŒè©³ã—ãã¦ã€ãれをèªã‚ã°ã ã„ãŸã„事足りるんã§ã€ã‚ã¨ã¯CSRFã«é–¢é€£ã—ãã†ãªè©±é¡Œã ã‘。 Q. ãã‚‚ãも「クãƒã‚¹ã‚ªãƒªã‚¸ãƒ³ã€ã£ã¦ä½•ï¼Ÿ スã‚ームã€ãƒ›ã‚¹ãƒˆã€ãƒãƒ¼ãƒˆã®3ã¤ã®çµ„ã¿åˆã‚ã›ãŒä¸€è‡´ã—ã¦ã„ã‚‹å ´åˆã‚’åŒä¸€ã‚ªãƒªã‚¸ãƒ³(same-origin)ã€ã„ãšã‚Œã‹ä¸€ã¤ã§ã‚‚ã“ã¨ãªã‚‹å ´åˆã‚’クãƒã‚¹ã‚ªãƒªã‚¸ãƒ³(cross-origin)ã¨è¨€ã„ã¾ã™ã€‚ã¤ã¾ã‚Šã€XHRã§ãƒ‰ãƒ¡ã‚¤ãƒ³ã‚’超ãˆã¦é€šä¿¡ã—ã¦ã„ã‚‹å ´åˆã¯å…¸åž‹çš„ãªã‚¯ãƒã‚¹ã‚ªãƒªã‚¸ãƒ³é€šä¿¡ã¨ãªã‚Šã¾ã™ã€‚ Q. ãˆï¼Ÿ XMLHttpReuest ã£ã¦ä»–ã®ãƒ‰ãƒ¡ã‚¤ãƒ³ã«ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’発行ã§ããªã„ã‚“ã˜ã‚ƒ ã„
XMLHttpRequestを使ã£ãŸCSRFå¯¾ç– - 葉ã£ã±æ—¥è¨˜
åˆã‚ã›ã¦èªã‚“ã§ãã ã•ã„:Flashã¨ç‰¹å®šãƒ–ラウザã®çµ„ã¿åˆã‚ã›ã§cross originã§ã‚«ã‚¹ã‚¿ãƒ ヘッダ付与ãŒå‡ºæ¥ã¦ã—ã¾ã†å•é¡ŒãŒæœªã ã«ç›´ã£ã¦ã„ãªã„話 (2014-02/07) XMLHttpRequestを使ã†ã“ã¨ã§ã€Cookieやリファラã€hidden内ã®ãƒˆãƒ¼ã‚¯ãƒ³ã‚’使用ã›ãšã«ã‚·ãƒ³ãƒ—ルã«CSRF対ç–ãŒè¡Œãˆã‚‹ã€‚POSTã™ã‚‹JavaScriptã¯ä»¥ä¸‹ã®é€šã‚Šã€‚(2013/03/04:コード一部修æ£) function post(){ var s = "mail=" + encodeURIComponent( document.getElementById("mail").value ) + "&msg=" + encodeURIComponent( document.getElementById("msg").value ); var xhr = new XMLHttpRequest(); xhr
1
ランã‚ング
ランã‚ング
ランã‚ング
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
{{#tags}}- {{label}}
{{/tags}}