編集履歴

回答編集履歴

追記＆訂正

2021/06/09 06:45

投稿

スコア0

answer CHANGED Viewed

@@ -28,7 +28,7 @@
 **ログイン有り**
-CSRF 対策トークンのクッキーは上と同じものです（ブラウザを閉じない限り同じクッキーが送信されます）。ログインした際に認証クッキーを受け取ってうますので、POST 操作で両方送信されています。
+CSRF 対策トークンのクッキーは上と同じものです（ブラウザを閉じない限り同じクッキーが送信されます）。ログインした際に認証クッキーを受け取っていますので、POST 操作で両方送信されています。
 ![イメージ説明](e876d01eef932f86a0b712620dbdc073.jpeg)

追記

2021/06/09 06:44

投稿

退会済みユーザー

スコア0

answer CHANGED Viewed

@@ -12,4 +12,28 @@
 ただし、フォームデータを POST するのではなく、例えば、AJAX で JSON 文字列を POST するような場合は (hidden は送れない場合は)、リクエストヘッダを使う方法も用意されているそうです。詳しくは以下の記事を見てください。
-[https://docs.microsoft.com/ja-jp/aspnet/web-api/overview/security/preventing-cross-site-request-forgery-csrf-attacks#anti-csrf-and-ajax](https://docs.microsoft.com/ja-jp/aspnet/web-api/overview/security/preventing-cross-site-request-forgery-csrf-attacks#anti-csrf-and-ajax)
+[https://docs.microsoft.com/ja-jp/aspnet/web-api/overview/security/preventing-cross-site-request-forgery-csrf-attacks#anti-csrf-and-ajax](https://docs.microsoft.com/ja-jp/aspnet/web-api/overview/security/preventing-cross-site-request-forgery-csrf-attacks#anti-csrf-and-ajax)
+**【追記】**
+下の 2021/06/09 15:19 の私のコメントで「ご参考に、あとで、ログイン有り無しの時のクッキーがどうなっているか Fiddler で見た画像を回答欄に貼っておきます」と書いた件です。
+編集画面で編集したあと結果を POST した場面です。__RequestVerificationToken が CSRF 対策トークンのクッキー、.AspNet.ApplicationCookie は認証クッキーです。
+**ログイン無し**
+ログインしてなくとも CSRF 対策トークンのクッキーは編集画面が表示された際に受け取っていますので、POST すると送信されます。
+![イメージ説明](7d5e5c41733584aa4de08b9f4fe7e196.jpeg)
+**ログイン有り**
+CSRF 対策トークンのクッキーは上と同じものです（ブラウザを閉じない限り同じクッキーが送信されます）。ログインした際に認証クッキーを受け取ってうますので、POST 操作で両方送信されています。
+![イメージ説明](e876d01eef932f86a0b712620dbdc073.jpeg)
+**hidden のトークン**
+ちなみに、hidden 要素のトークンは以下の画像の通りです。クッキーの CSRF 対策トークンと異なるのは追加情報が含まれているからです。
+![イメージ説明](047c3bf3fa3053abdf5ce9792bb82c95.jpeg)

追記

2021/06/09 06:39

投稿

退会済みユーザー

スコア0

answer CHANGED Viewed

@@ -10,6 +10,6 @@
 理由は、それを書いてある Mictosoft のドキュメントは見つけられなかったので不明ですが、普通に考えてサーバーがランダムに生成したトークンをリクエストヘッダに含めるのは無理があるからだと思います。
-ただし、フォームデータを POST するのではなく、例えば、AJAX で JSON 文字列を POST するような場合は、リクエストヘッダを使う方法も用意されているそうです。詳しくは以下の記事を見てください。
+ただし、フォームデータを POST するのではなく、例えば、AJAX で JSON 文字列を POST するような場合は (hidden は送れない場合は)、リクエストヘッダを使う方法も用意されているそうです。詳しくは以下の記事を見てください。
 [https://docs.microsoft.com/ja-jp/aspnet/web-api/overview/security/preventing-cross-site-request-forgery-csrf-attacks#anti-csrf-and-ajax](https://docs.microsoft.com/ja-jp/aspnet/web-api/overview/security/preventing-cross-site-request-forgery-csrf-attacks#anti-csrf-and-ajax)

追記

2021/06/07 23:08

投稿

退会済みユーザー

スコア0

answer CHANGED Viewed

@@ -8,4 +8,8 @@
 hidden です。
-理由は、それを書いてある Mictosoft のドキュメントは見つけられなかったので不明ですが、普通に考えてサーバーがランダムに生成したトークンをリクエストヘッダに含めるのは無理があるからだと思います。
+理由は、それを書いてある Mictosoft のドキュメントは見つけられなかったので不明ですが、普通に考えてサーバーがランダムに生成したトークンをリクエストヘッダに含めるのは無理があるからだと思います。
+ただし、フォームデータを POST するのではなく、例えば、AJAX で JSON 文字列を POST するような場合は、リクエストヘッダを使う方法も用意されているそうです。詳しくは以下の記事を見てください。
+[https://docs.microsoft.com/ja-jp/aspnet/web-api/overview/security/preventing-cross-site-request-forgery-csrf-attacks#anti-csrf-and-ajax](https://docs.microsoft.com/ja-jp/aspnet/web-api/overview/security/preventing-cross-site-request-forgery-csrf-attacks#anti-csrf-and-ajax)

追記

2021/06/07 23:06

投稿

退会済みユーザー

スコア0

answer CHANGED Viewed

@@ -6,4 +6,6 @@
 > ２、②でのhiddenもしくは、リクエストヘッダーのどちらにトークンを付与するのが一般的ですか？また理由も教えていただけると助かります。
+hidden です。
-hidden です。理由は、それを書いてある Mictosoft のドキュメントは見つけられなかったので不明ですが。
+理由は、それを書いてある Mictosoft のドキュメントは見つけられなかったので不明ですが、普通に考えてサーバーがランダムに生成したトークンをリクエストヘッダに含めるのは無理があるからだと思います。

訂正

2021/06/07 22:54

投稿

退会済みユーザー

スコア0

answer CHANGED Viewed

@@ -2,7 +2,7 @@
 > １、ユーザーの新規作成時（つまりログイン前）はクッキーにトークン値がないので、この場合は一般的にどのような実装になっているのでしょうか？
-トーキンはユーザー情報に関係なくトークンはランダムに生成します。なので、ログインしているか否かに関係なくトークンは発行されます。
+トークンはランダムに生成されます。なので、ログインしているか否かに関係なくトークンは発行されます。
 > ２、②でのhiddenもしくは、リクエストヘッダーのどちらにトークンを付与するのが一般的ですか？また理由も教えていただけると助かります。

脱字訂正

2021/06/07 22:50

投稿

退会済みユーザー

スコア0

answer CHANGED Viewed

@@ -1,4 +1,4 @@
-ASP.NET MVC の場合も質問者さんが書かれた機能がフレームワークに組み込まれていて、質問 1, 2 はどうなっているかと言う
+ASP.NET MVC の場合も質問者さんが書かれた機能がフレームワークに組み込まれていて、質問 1, 2 はどうなっているかと言うと、
 > １、ユーザーの新規作成時（つまりログイン前）はクッキーにトークン値がないので、この場合は一般的にどのような実装になっているのでしょうか？