PHPにおけるCSRF対策

PHPアプリケーションのCSRF対策について相談させてください。

いろいろな書籍やネットなどの情報で、
CSRF対策として様々な情報が出てきます。

トークン発行すればいいとか、
トークンだけではダメとかリファラをチェックするとか、
なんとなく情報が細切れな印象があります。

アプリケーションなどによりケースバイケースと思いますが、
自分としては基本的な対策としては以下に落ち着きました。

・FormのhiddenとしてToken発行し、チェック
・・base64_encode(openssl_random_pseudo_bytes(16)
・リファラーチェック
・重要処理前にはパスワード入力

他に基本的な対策などがあれば、
ご意見いただけますと幸いです。

行動規範の内容に同意します

回答2件

ご参考までに。

投稿2015/10/04 00:16

総合スコア697

2015/10/04 04:26

参考URLありがとうございます。こちらは読んだことがなかったので、参照させていただきます。やはりこの辺りが対策になるのですね。勉強になりました。

行動規範の内容に同意します

投稿2015/10/03 22:23

総合スコア1768

2015/10/04 04:24

ご回答ありがとうございます。存在は知っていましたが、読んだことがなかったので、先ほど読んでみました。内容がコンパクトにまとまっていて、とても読みやすかったです。確かにここに記載されている対策と似てますね。あと確認メール送信も加えるほうがよさそうですね。勉強になりました。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

まだベストアンサーが選ばれていません

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問