PHPアプリケーションのCSRF対策について相談させてください。
いろいろな書籍やネットなどの情報で、
CSRF対策として様々な情報が出てきます。
トークン発行すればいいとか、
トークンだけではダメとかリファラをチェックするとか、
なんとなく情報が細切れな印象があります。
アプリケーションなどによりケースバイケースと思いますが、
自分としては基本的な対策としては以下に落ち着きました。
・FormのhiddenとしてToken発行し、チェック
・・base64_encode(openssl_random_pseudo_bytes(16)
・リファラーチェック
・重要処理前にはパスワード入力
他に基本的な対策などがあれば、
ご意見いただけますと幸いです。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/10/04 04:26