水無月ばけらのえび日記

個人的にものすごく気になったのはこの部分です。

> フォーム・スプーフィングを制限するためには、投稿者が本人であるらしいということを確実にする手段を講じる必要があります。そのために使用できる 1 つの手法として、1 回しか使用できないトークンを使う方法があります。1 回限りのトークンを使う場合であってもフォーム・スプーフィングは不可能ではありませんが、フォーム・スプーフィングを非常に行いにくくすることができます。

確かにウェブ上に偽のフォームを用意するのは難しくなったかもしれませんが、パラメータタンパリングには相変わらず弱いままなのはいかがなものでしょうか。ちゃんとラジオボタン等であっても入力チェックを行うよう奨めてほしいものです。しかもトークンによる防御はCSRF対策ではなく、こっちの方が主な利用場面のように書かれているのがさらにあれげです。