■CSRFって何?
・Webアプリケーションのユーザ認証やセッション管理の不備を突いて、サイトの利用者
に、Webアプリケーションに対する不正な処理要求を行わせる
・当該サイトの利用者が、ログイン状態を保持したまま外部のWebサイトに置かれた注文
確認への不正なリンクをクリックすることにより、意図しない商品を注文させられてし
まう可能性がある
■CSRFへの対策
・POSTメソッドを使用し、hiddenフィールドに秘密情報をセット
・確定処理の直前で再度パスワードを入力させる
・Referrerを用いてリンク元の正当性を確認する
・重要な操作を行った後で、その内容を登録アドレスにメール送信
0コメント