質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.34%

  • Java

    14473questions

    Javaは、1995年にサン・マイクロシステムズが開発したプログラミング言語です。表記法はC言語に似ていますが、既存のプログラミング言語の短所を踏まえていちから設計されており、最初からオブジェクト指向性を備えてデザインされています。セキュリティ面が強力であることや、ネットワーク環境での利用に向いていることが特徴です。Javaで作られたソフトウェアは基本的にいかなるプラットフォームでも作動します。

  • Spring Boot

    582questions

    Spring Bootは、Javaのフレームワークの一つ。Springプロジェクトが提供する様々なフレームワークを統合した、アプリケーションを高速で開発するために設計されたフレームワークです。

  • Thymeleaf

    171questions

    Thymeleaf(タイムリーフ)とは、Java用のテンプレートエンジンで、特定のフレームワークに依存せず使用することが可能です。

CSRF対策したページにブラウザの異なるタブからログイン

解決済

回答 2

投稿

  • 評価
  • クリップ 2
  • VIEW 2,243

plue

score 67

現状

SpringBoot、thymeleafを使用して、WEBアプリケーションを作成しています。
ログイン画面を実装しているため、Spring Securityを利用しており、
CSRF対策としてトークンを発行しWEB画面に埋め込まれるようにしております。

    <!-- CSRF対策用トークン埋め込み -->
    <input type="hidden" id="crsf_tokn" th:value="${_csrf.token}"></input>

上記の状態で、ブラウザ(Chromeを使用)上の異なるタブからWEBアプリケーションした際、
1タブ目のログイン後、2タブ目でログインしようとすると、以下のエラーが発生します。

Whitelabel Error Page

This application has no explicit mapping for /error, so you are seeing this as a fallback.

Mon Apr 10 18:45:49 JST 2017
There was an unexpected error (type=Forbidden, status=403).
Invalid CSRF Token '9ffc4be1-4a5e-48c3-880b-db6c8e741078' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.

トークンの値が現在のセションに紐づくものでない('9ffc4be1-4a5e-48c3-880b-db6c8e741078'ではない)ため、
エラーが出ているのではないかと思っています。
画面を操作する上で、発行されるトークンの値は以下のようになっています(トークン値が長いのでABC・・・で書いています)
・1タブ目のログイン画面・・・トークン値はA
・2タブ目のログイン画面・・・トークン値はA
・1タブ目のログイン以降の画面・・・トークン値はB
・2タブ目のログインしようとしたときに上記エラーが発生(トークン値がBでないため)

質問

【質問1】
1タブ目のログイン前後でトークンの値が変更するのはなぜですか?
セッションが同じであればトークンも同じだと思っていたのですが。。。

【質問2】
2タブ目でもログインできるようにする方法がありますでしょうか?

以上、よろしくお願い致します。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

+1

  • トークンにセッションIDやセッションIDから導出した値を用いる実装のため、ログイン時にセッションIDが振り直されトークンも変化した
  • ログイン操作などセッションIDが振り直される際には既存のトークンが無効化される
  • セッションIDとは無関係にワンタイムトークンが使用される

フレームワークの実装次第なのですが、こういうことが考えられます。「セッションが同じであればトークンは変化しない」というものでもありません。

 2タブ目でもログインできるようにする方法がありますでしょうか? 

タブが別でもセッションは同一ですので、2タブ目も既にログインしている状態と言えます。これまたフレームワークの実装次第なのですが、ログイン処理を行う前にログイン状態をチェックしてログイン後の画面にリダイレクトする処理が追加できませんか。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/04/11 09:59

    回答いただきありがとうございます。
    セッションが同じでもトークンが異なることがあるのですね。
    SpringBootにログイン状態をチェックできる機能があるかどうか、調べてみたいと思います。

    キャンセル

checkベストアンサー

0

1タブ目はログインした=つまりサーバへリクエスト~レスポンスしているので、トークンの値は更新されたものがセッション+画面に反映されます。
対して2タブ目は何もしていませんので、トークンの値はそのままですが、セッションの値は他の値(1タブ目の値)になっていますので、2タブ目を操作するとCSRFトークンチェックエラーです。

リクエストパラメータにトークンを埋め込む方法では複数タブに対応できませんので、CookieCsrfTokenRepository を用いてクッキーにトークンを発行する方法であれば実現できるでしょうか。セキュリティ要件次第なところもありますが…。

https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html#csrf-cookie

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/04/14 15:36

    回答いただきありがとうございます。
    また、返信が遅くなり申し訳ありません。
    いただいた回答を元に、クッキーにトークンを発行する方法で、
    画面遷移およびajax通信時にトークンをクッキーにて最新化する処理をすることで実現することができました。(セキュリティ要件はこれから詰めていきます。。。)

    キャンセル

同じタグがついた質問を見る

  • Java

    14473questions

    Javaは、1995年にサン・マイクロシステムズが開発したプログラミング言語です。表記法はC言語に似ていますが、既存のプログラミング言語の短所を踏まえていちから設計されており、最初からオブジェクト指向性を備えてデザインされています。セキュリティ面が強力であることや、ネットワーク環境での利用に向いていることが特徴です。Javaで作られたソフトウェアは基本的にいかなるプラットフォームでも作動します。

  • Spring Boot

    582questions

    Spring Bootは、Javaのフレームワークの一つ。Springプロジェクトが提供する様々なフレームワークを統合した、アプリケーションを高速で開発するために設計されたフレームワークです。

  • Thymeleaf

    171questions

    Thymeleaf(タイムリーフ)とは、Java用のテンプレートエンジンで、特定のフレームワークに依存せず使用することが可能です。