Q&A
CSRFはPOST送信を勝手にされてしまう攻撃と聞きました。ならばGETを行うフォームであればCSRF対策は必要ないと思うのですが、合っていますか?
わたしが作ろうとしているサイトは、ユーザー登録もなくDBもなく、設置されているフォームはGETでデータを取得してくるのみです。ただし静的なサイトではなく動的にページを生成します。このケースならCSRF対策を行うライブラリは必要なさそうと思いましたが、念の為お聞きしておきたいと思いました。
回答1件
0
ベストアンサー
ならばGETを行うフォームであればCSRF対策は必要ないと思うのですが、合っていますか?
本質の問題はGETかPOSTかではなく、意図しないリクエストで何を実現できるかどうかの問題になります。
本来、GETは冪等であるべき(何回アクセスしても「同じ」結果を返すべき)ものなので、そう設計していれば攻撃者が意図しないリクエストへ仕向けたところで、サーバに(アクセスログ以外の)状態変化を残すことはできません。
今回の場合も、「GETでデータを取得してくるのみ」である以上、CSRFと同様な仕組みでページを表示させること自体は可能ですが、ただページが表示されるだけなので、有意な攻撃とは通常なりません。
投稿2019/03/02 01:09
総合スコア146526
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/03/02 01:11
2019/03/02 08:48