記事個別表示 (2882)
これは「鳩丸ぐろっさり (用語集) : CSRF」に関連するコメントです。
[2882] Re: 用語「CSRF」
えむけい (2005年4月28日 9時40分)
当然ご覧になっていると思いますが、
クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法
http://takagi-hiromitsu.jp/diary/20050427.html#p01
という記事が出ていたので、用語の解説と見比べてみました。
> この方法の問題は、Referer を送出しないブラウザで管理画面が利用できなくなってしまうということです。
逆に言うとそこまでチェックしないと対策にならないわけですね。
> もう一つの方法は、攻撃者が知り得ない値をリクエストに含めておくというものです。
> たとえば、ユーザが管理画面にログインするたびにランダムな値を生成して、
セッションIDはまさにそのような性質を持った値である(はずだ)から車輪を再発明する必要はないということですね。
これは「鳩丸ぐろっさり (用語集) : CSRF」に関連するコメントです。
全読: [2882]Re: 用語「CSRF」からのスレッド(7件)]