サーバー側API
は、Fuelphp
、フロントはAngularJS
でweb
アプリを作成しております。
CSRF
対策として、Fuelphp
でCSRF
対策用のCookie
を発行して、AngularJS
側でカスタムヘッダーにその
Cookie
を乗せてサーバー側で検証するようにしています。
この状況下で、ユーザーが自分でCSRF
対策のcookie
を削除してしまった後に、ユーザーが
ログアウト操作をした場合に、サーバー側でログアウト状態としてそのレスポンスと返すとすると、
CSRF
の攻撃でLogout
用のAPI
が狙われた場合に、サーバー側はログアウト状態にしてしまいます。
つまり、攻撃が成功してしまいます。
逆に、
ユーザーが自分でcookie
を削除してしまった後にユーザーがログアウト操作をした場合にサーバー
側で何も状態を変更しないと、ユーザーはいつまでもログイン状態のままでログアウト出来ない
状態に陥ります。
こういう場合は、web
アプリとしてどのように、実装・対策すれば良いのでしょうか?
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/10/03 10:32