CSRFトークンについて

CSRFの対策としてCSRFトークンを使用する方法があることを知りました。
CSRFトークンを用いた検知の手順は次のように記載されていました

上記の手順ですが、項番1の「ユーザがフォーム画面にアクセス」が無かった場合は
トークンの発行がされないと思いますが、この場合CSRFをどのように検知するのでしょうか？
(例えば、罠サイト上でリンクをクリックした際に、フォーム画面にリクエストを送るような場合)

行動規範の内容に同意します

回答1件

ベストアンサー

項番1の「ユーザがフォーム画面にアクセス」が無かった場合は

トークンの発行がされないと思いますが、この場合CSRFをどのように検知するのでしょうか？

トークンが発行されない以上、適切なトークンを送れないことで、CSRFの防御になります。

投稿2019/05/21 07:37

総合スコア145184

退会済みユーザー

2019/05/21 08:21 編集

>トークンが発行されない以上、適切なトークンを送れないことで、CSRFの防御になります。ご回答ありがとうございます。そもそもサーバ側でトークンが発行されていないため正当なリクエスト(ユーザがフォーム画面にアクセス)ではないと判断する　という認識で良いでしょうか？

2019/05/21 08:01

システムによってそのあたりの詳細は異なります（トークンをある程度使いまわしている環境の場合、トークンの発行済かをチェックするのではなく、正しいトークンが来ていないことでしかチェックできないです）。

退会済みユーザー

2019/05/21 08:23

ご回答ありがとうございます。 CSRFトークンの内容について理解できました。迅速な対応ありがとうございました。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問