CSRF対策としてリファラーを見るだけでは不十分な場面ってあるのでしょうか？

RailsでWebアプリを開発中なのですが、
諸事情により一部ページのみRailsデフォルトのCSRF対策を切らなければならなくなりました。

代替策としてそのページにアクセスされた際は
リファラー内のドメインをチェックする感じにしようと思ってるのですが、

リファラーチェックのみではCSRF対策として不十分な場面って存在するのでしょうか？

行動規範の内容に同意します

回答1件

ベストアンサー

そもそもリファラーはブラウザから簡単に改ざんできるので簡単に突破されてしまいますよ。

なんらかのIDを発行し、先行画面でDB保存。
後続画面に HIDDEN ＆ POST 送信、またはドメイン名を絞った Cookie などで渡し、
さらに後続画面でリファラーと組み合わせてチェックする。などの対策は必要かと。

IDも、連番とか推測可能な値は絶対に NG ですね。

少しでも手を抜くと、のちにひどい目にあいますからご注意を...

投稿2016/02/10 12:52

総合スコア780

2016/02/11 10:52

> そもそもリファラーはブラウザから簡単に改ざんできるので簡単に突破されてしまいますよ。 CSRF対策なので、これは関係ないのでは？改竄できるのはあくまでリクエストを投げる人であって、CSRF攻撃を仕掛ける人では無い。

2016/02/11 15:42

仕掛ける側が、自サイトに飛ばして JavaScript や Flashでリファラを書き換え送信したら、リクエストの強要ができてしまいます（＝攻撃者がリクエストを投げる人になる）あくまでもリファラだけのチェックでは足りない。ということが言いたいことです

2016/02/18 15:56

この方は過去の質問を見ると回答しても返答しない方なんですね。せめてクローズして欲しいです。残念です

2016/02/29 14:45

クローズいただきました。上記は撤回します。失礼いたしました。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.29%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問