例としてPHPのフレームワークになりますが、CSRF対策として
入力フォームのViewのhiddenにトークンを埋め込んでおくような対策方法があるかと思います。
疑問なのですが、攻撃スクリプトがPOSTする前にいったん入力フォームにリクエストを行ってレスポンスからトークンを取得。
またその際にクッキーからセッションIDを取得。その後、リクエストヘッダに取得したセッションIDを埋め込んでトークンをPOSTした場合、
攻撃が可能な気がするのですが、どうなんでしょうか。
回答3件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/11/28 05:07