質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
HTML5

HTML5 (Hyper Text Markup Language、バージョン 5)は、マークアップ言語であるHTMLの第5版です。

HTTP

HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

POST

POSTはHTTPプロトコルのリクエストメソッドです。ファイルをアップロードしたときや入力フォームが送信されたときなど、クライアントがデータをサーバに送る際に利用されます。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

Q&A

解決済

1回答

1872閲覧

csrf? サーバ(親サイト)から、別サーバ(子サイト)へ、formで値を送る場合

annko

総合スコア22

HTML5

HTML5 (Hyper Text Markup Language、バージョン 5)は、マークアップ言語であるHTMLの第5版です。

HTTP

HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

POST

POSTはHTTPプロトコルのリクエストメソッドです。ファイルをアップロードしたときや入力フォームが送信されたときなど、クライアントがデータをサーバに送る際に利用されます。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

0グッド

2クリップ

投稿2020/04/02 23:55

編集2020/04/03 00:40

表題の通りですが、親サイトの値を、子サイトにform method=postで送りたいです。

簡易的にできるセキュリティチェックがあれば教えていただきたいです。

何卒よろしくお願い致します。

追記

  • サーバーサイドの言語はJava8です。
  • postで送るときに、セキュリティ対策となる実装方法で、参考になりそうなものがあればおしえていただきたいです( ;∀;)

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

annko

2020/04/02 23:59

ちなみに、サーバーサイドの言語はJava8です。
annko

2020/04/03 00:33

さらに追記。 postで送るときに、セキュリティ対策となる実装方法で、参考になりそうなものがあればおしえていただきたいです( ;∀;)
退会済みユーザー

退会済みユーザー

2020/04/03 01:59 編集

Cross Site Request (サーバー間)の処理を禁止させるための処理なので そのURLをCSRFの対象にしなければいいだけです。 代わりにJWS 等を使うのも手になります。
guest

回答1

0

ベストアンサー

あくまで簡易的な検査ですが、以下のようにするとよいでしょう。

  1. 親サイトのフォームから、HTMLを取り出してエディタで編集する。以下はイメージ

HTML

1<form action="https://sub.example.jp" method="POST"> 2<input type="hidden" name="hoge" value="fuga"> 3... 4<input type="hidden" name="token" value="pXn4nsqQ7t6fFHkTHXGUWtR83U"> 5<input type="submit> 6</form>
  1. フォームの中に乱数文字列があれば、その中身を削除する(上記の場合はtoken)
  2. 上記フォームをローカルファイルに保存する
  3. ローカルファイルに置いたフォームを実行する
  4. 子サイト側で処理が実行されれば脆弱性です

検査の意味がわからなければ、IPAの安全なウェブサイトの作り方か、拙著にはなりますが「体系的に学ぶ 安全なWebアプリケーションの作り方」で勉強してください。

なお、冒頭に書いたように、これはあくまで超簡易的な検査ですので、これがOKだとしても、サイトが安全であることは意味しません。

投稿2020/04/03 00:14

ockeghem

総合スコア11705

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

annko

2020/04/03 00:32

ありがとうございます! amazonでぽちらせていただきました
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問