PHP初心者です。
CSRFという用語がでてきました。
CSRFというのはいったいどのようなものなのでしょうか?
わかる方、詳しく教えていただけないでしょうか?
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答1件
0
ベストアンサー
CSRF(クロスサイトリクエストフォージェリ)とは、
なんらかの方法で、ユーザーにリクエストを送信させることにより、ユーザーが意図しない処理を実行
させる攻撃手法のことです。
攻撃例としては、ユーザーのアカウントによる物品の購入や、
ユーザーの退会処理、ユーザーのアカウントによる掲示板等の書き込み、
ユーザーのパスワードやメールアドレスの変更などです。
これらを対策する方法として、セッションが使える場合は、
トークンを利用したチェックを行います。
以下例プログラム
`
`
また、HTMLにトークンをフォームのhiddenフィールドに設定します。
<input type="hidden" name="token" value="<?php print htmlspecialchars($_SESSION['token'], ENT_QUTES, 'UTF-8'); ?>">
そして、処理ページでは、POSTされた隠しフィールドの値がサーバーに保存されて
いる値と一致した場合のみ処理を実行するようにします。
`
<?php if (!isset($_POST['token'])) { exit('不正な処理です'); } else if ($_POST['token': !== $_SESSION['token']) { exit('不正な処理です'); } ?>`
このような実装を行うことで、トークンの値が攻撃者に知られない限り安全です。
しかし、XSSでの脆弱性が1つでもあれば、トークンによるCSRF対策を実装して
いたとしても、hiddenフィールドのトークンが盗まれてしまう可能性がありますので、
無効化される可能性もあります。
投稿2014/06/04 07:38
総合スコア316
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。