CSRF対策のトークンを生クッキーに保存するフレームワークについて

FuelPHPは、表題のようにCSRF対策用トークンを生のクッキーに保存しています。すなわち、セッション変数にトークンを保存するのではなく、トークン保存用のクッキーがあり、その値にトークンの生の値が入っています。

参考: FuelPHPのCSRF対策トークンは何が問題だったのか - Togetterまとめ

そのようなアプリケーションフレームワークは、FuelPHP以外にもあるでしょうか? もしあるなら教えてください。PHP以外のフレームワークでも結構です。

行動規範の内容に同意します

回答2件

既に解決されていますが、補足を。

FuelPHP以外のメジャーなところでは、DjangoやCodeIgniterが採用しています。

このような方式をDouble Submit Cookieというのですが、単純なDouble Submit Cookieでは脆弱性になることが知られています。

この問題を攻撃するにはCookieを書き換えないといけませんが、その方法の一つに通信経路上の攻撃（中間者攻撃）があります。下記の動画で説明しています。

投稿2022/04/12 00:40

総合スコア11701

2022/04/16 06:37

フィッシング詐欺にお気をつけください。大物が釣れて喜んでいると思います。 https://teratail.com/questions/99549 質問者はランキング上位の m.ts10806 さんではなく、その偽物です。

2022/04/16 13:36

ありがとうございます。後で気がつきましたが、この回答を読む方のために有益であればそれでよいと思いました。

行動規範の内容に同意します

ベストアンサー

そのようなアプリケーションフレームワークは、FuelPHP以外にもあるでしょうか? もしあるなら教えてください。PHP以外のフレームワークでも結構です。

ASP.NET Web アプリでも CSRF 用のトークンをクッキーに入れてやり取りします。

・・・が、それだけでは不十分なので、隠しフィールドに別のトークン（Cookie のものとは少々異なる）を入れて、ユーザーが POST すると送られてくる 2 つのトークンの比較チェックに合格した場合にのみ、要求の続行を許可するようになっています。

詳しくは以下のドキュメントの「効果のない軽減策」と「Web Stack ランタイム XSRF の軽減策」のセクションを見てください。

投稿2022/04/10 04:09

退会済みユーザー

総合スコア0

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問