CSRF対策 - 初回アクセスがPOSTの場合

CSRFの勉強がてら、SpringSecurityを使ってWEBアプリ開発を個人で行っています。
SpringSecurityを適用したアプリを別アプリからPOSTで呼び出したときに、
SpringSecurityのCSRFフィルターに引っ掛かり、403エラーが返ってきてしまいました。
(POSTなので、CSRFフィルターでひっかかることは期待通りの動作)

個人で作るアプリでは初回アクセスはGETで行えばCSRFフィルターに引っ掛かることもなく、問題ないでしょう。
しかし、普段目にするシステム間連携のリンク（証券番号や顧客番号を渡して相手先で当該画面を出す）をGETにしてしまうと、
URLにパラメータが付加されてしまい重要なパラメータが晒されてしまい、あまりよいとは思えません。

そこで下記の2点をお伺いしたいです。

・一般的に初回アクセスをGETで行っていますが、理由を教えていただきたいです(なぜPOSTで呼び出さないのか)

・CSRFの保護対象になっているアプリをPOSTでを呼び出すときにCSRFのチェックの対象から初回アクセスを外す方法
→初回アクセスはPOSTで、CSRFのチェックの対象にならず、アプリ内でのPOST処理ではCSRFのチェックの対象に
なるように組めることがゴール
初回アクセスがPOSTの時にSpringのCSRFトークンがセッションに保存された直後なのでMissingCsrfTokenExceptionがthrowされる。

どちらかがわかる、多言語を使ってCSRFの対策をしているけどこうやって回避したなどアイデアがあればコメントいただければ幸いです。

行動規範の内容に同意します

回答3件

ベストアンサー

CSRF対策が必要ないページということは、更新処理を伴わないページなのだと思います。
一般的に、GETではなくPOSTを用いるケースとしては、以下があります。これはHTTPを規定しているRFC7231によものです。

GET メソッドは参照（リソースの取得）のみに用いる
GET メソッドは副作用がないことが期待される
秘密情報の送信にはPOST メソッドを用いること

前の2つは、大雑把に言って更新処理がないということです。CSRF対策が必要ないということであれば、これは満たすと思います。
問題は「秘密情報」に該当するかですが、一般的には、証券番号や顧客番号は秘密情報とは扱わないです。もちろん漏洩したりするとまずいのですが、HTTPSで暗号化されているという前提では、ブラウザのアドレスバーに表示されるなどの問題であり、これらは画面上にも表示されているのではないでしょうか? そうであれば、URLにパラメータが載ることは問題とは通常しません。

では、どのような情報が「秘密情報」かというと、パスワード、マイナンバー、クレジットカード情報などを想定していただくとよいと思います。

もちろん、用件によっては証券番号等をクレジットカード番号なみの秘密情報として扱いたいというケースもあるでしょうが、一般的にどうするかという質問でしたので、一般論として回答いたします。

投稿2020/02/01 11:02