CSRFの対策としてCSRFトークンを使用する方法があることを知りました。
CSRFトークンを用いた検知の手順は次のように記載されていました
- ユーザがフォーム画面にアクセス
- サーバ側でセッションIDを元にして作成したトークンを発行
- 発行したトークンをフォームのhiddenに埋め込む
- formデータを受け取った際にhiddenのトークンとサーバ上のトークンを比較
- トークンが一致していなければ、サーバ外のフォームから送信されたデータと判定
上記の手順ですが、項番1の「ユーザがフォーム画面にアクセス」が無かった場合は
トークンの発行がされないと思いますが、この場合CSRFをどのように検知するのでしょうか?
(例えば、罠サイト上でリンクをクリックした際に、フォーム画面にリクエストを送るような場合)
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2019/05/21 08:21 編集
2019/05/21 08:01
退会済みユーザー
2019/05/21 08:23