CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

RSS

  • 解決済

    回答
    1

    AngularJSのCSRF対策は、どのような仕組みでCSRF攻撃を防御するのか?またサーバー側のh...

    AngularJSのCSRF対策がどのように動作しているのかがよくわかりません。 また、サーバー側にheader('Access-Control-Allow-Origin: *'); の設定を行なっていますが、やはりこの場合は、AngularJSのCSRF対策が 無効化されてしまうのでしょうか? 昨日さっぱりわからなかったので、調べた上で現時点の知識を記

    • 0評価
    • 391PV
    tama2015 tama2015 5日前に ベストアンサー
  • 解決済

    回答
    5

    PHPのセキュリティに関する関数

    PHPでセキュリティ対策の便利な関数があれば是非教えていただきたいです。 一応自分でも作成したのでアドバイス頂けると幸いです。 XSS対策 function escape($data){ if (is_array($data)){ return array_map(__METHOD__, $data); } else {

    • 0評価
    • 343PV
    te2ji te2ji 1週間前に ベストアンサー
  • 解決済

    回答
    2

    CSRF対策のトークンを生クッキーに保存するフレームワークについて

    FuelPHPは、表題のようにCSRF対策用トークンを生のクッキーに保存しています。すなわち、セッション変数にトークンを保存するのではなく、トークン保存用のクッキーがあり、その値にトークンの生の値が入っています。 参考: FuelPHPのCSRF対策トークンは何が問題だったのか - Togetterまとめ そのようなアプリケーションフレームワークは、

    • 0評価
    • 963PV
    ockeghem ockeghem 2週間前に ベストアンサー
  • 解決済

    回答
    1

    LaravelのCSRFトークンのhttpOnly属性がfalseとなっている事によるセキュリティリ...

    LaravelでCookieを利用する際には、デフォルトで、 httpOnly が true となるように設定されていると思います。 symfonyのcookie生成のコンストラクタ しかし、CSRF対策のトークンに関してはこの httpOnly が false に設定されているようです。 framework/src/Illuminate/Foundat

    • 0評価
    • 82PV
    botan botan 1ヶ月前に ベストアンサー
  • 解決済

    回答
    1

    ユーザーがログイン中に、自分でcookieを削除してしまった時のログアウト操作の実装に関して

    サーバー側APIは、Fuelphp、フロントはAngularJSでwebアプリを作成しております。 CSRF対策として、FuelphpでCSRF対策用のCookieを発行して、AngularJS側でカスタムヘッダーにその Cookieを乗せてサーバー側で検証するようにしています。 この状況下で、ユーザーが自分でCSRF対策のcookieを削除してしまった

    • 0評価
    • 393PV
    tama2015 tama2015 1ヶ月前に ベストアンサー
  • 解決済

    回答
    1

    Djangoで外部からのPOSTを受け取る時の安全策

    wordpressで作っているサイトから、DjangoのサイトにデータをPOSTしたいです。 普通にするとDjangoのcsrf_tokenがないので弾かれますが、POSTを受けるview関数に´@csrf_exempt´デコレータを付けると大丈夫だと分かりました。 ですがそれですと当然csrf攻撃に脆弱になってしまうということですよね? なので

    • 0評価
    • 98PV
    E3KUROSUKE E3KUROSUKE 2ヶ月前に ベストアンサー
  • 解決済

    回答
    2

    CSRF対策について(PHP)

    CSRF対策でトークンの設定と確認をどこで行えばよいのかわかりません。 input.htmlで、名前と性別とコメントを入力し送信すると、insert.phpへと飛び、入力チェック等を行った後にDBと接続して入力データをレコードに追加します。 input.html <!DOCTYPE html> <html lang="ja"> <head> <m

    • 0評価
    • 129PV
    gsuisk gsuisk 2ヶ月前に ベストアンサー
  • 受付中

    回答
    2

    DjangoでCSRFエラー。ChromeはNG。IE11はOK。

    以下のドキュメントに従って、userをカスタマイズしていました。 Customizing authentication in Django | Django documentation | Django https://docs.djangoproject.com/ja/1.9/topics/auth/customizing/ コーディングを終えて

    • 0評価
    • 761PV
    n00 n00 3ヶ月前に 回答
  • 解決済

    回答
    1

    iOSから自前Django API Serverを叩くときのCSRFトークンについて

    DjangoでAPIサーバを作り、SwiftからPOSTで叩こうとしています。が、CSRTトークンをつけていないため Forbidden (CSRF cookie not set.): と言うエラーが出てきます。 少しググったところ @csrf_exempt つければいいよ!と出てきました。CSRFトークンのセキュリティを無効化するものと解釈しております

    • 0評価
    • 236PV
    kokardy kokardy 3ヶ月前に ベストアンサー
  • 解決済

    回答
    2

    【PHP】【CSRF対策】$_POST['token']のデータが送信されていない問題の解決方法【初...

    現在PHPの勉強をしている初心者のものです。 基礎的な問題なのかもしれないのですが調べても分からなかった為、質問をさせてください。 【目的】 CSRF対策を実装したいです。 【実行した事】 ドットインストールやネットで調べた事を参考にして CSRF対策を行っているコードを書いてみました。 【問題点】 $_SESSION['token']と$_PO

    • 0評価
    • 148PV
    shimane shimane 4ヶ月前に ベストアンサー
  • 解決済

    回答
    1

    【PHP】CSRF対策を施す(トークンを埋め込む)場所について

    練習用に書籍を管理するアプリケーションをPHP、MariaDBで作成しています。 CSRF対策を施す(トークンを埋め込む)場所についてアドバイスお願いします。 構成は下記。 ①login.php id、パスワード入力画面 セッションスタート、SESSIONにtokenを設定、hiddenでtokenをPOST送信。 ↓ ②login_check.ph

    • 0評価
    • 744PV
    tnk_fuku tnk_fuku 4ヶ月前に ベストアンサー
  • 解決済

    回答
    3

    【PHP】簡易掲示板の作成② 記述法、セキュリティについてアドバイス頂けないでしょうか。

    簡易掲示板をつくる中でうまく動作せず先日質問し、その後も構成を変えるなどしてとりあえず自分が思ったように動くものにはなりました。 (過去の質問はこちら) そこで完成したものをご確認頂き、下記の点についてアドバイスを頂ければと思います。 記述方法に誤りはないか セキュリティ対策は十分か ---バージョン--- MariaDB 1

    • 0評価
    • 1647PV
    zico_teratail zico_teratail 6ヶ月前に ベストアンサー
  • 解決済

    回答
    4

    【PHP】作成したメールフォームに脆弱性がないか、アドバイスもらえないでしょうか。

    PHPでメールフォームを作成したので、脆弱性がないかアドバイスいただけないでしょうか。 エンジニアでもなければ、PHPもろくに書けない雑魚ですが、「php メールフォーム 作り方」でググって表示されるサイトを見ると、「んんんんん???」と思うところがあります。 これらを参考にしたり、コピペする方は、記述されているコードの良し悪しは判断できないかと思います

    • 6評価
    • 18008PV
    te2ji te2ji 6ヶ月前に コメント
  • 解決済

    回答
    2

    外部サーバにリクエストして、そのレスポンスを取得して表示したい

    外部にリクエスト送信して、外部サーバからリクエストされた情報のレスポンスを取得して、その引数を表示する方法 以下のように送る場合 <form action="https://extra_server.co.jp" method="post"> <input type="hidden" name="csrf_token" value="12345

    • 0評価
    • 336PV
    tyutyu tyutyu 7ヶ月前に ベストアンサー
  • 受付中

    回答
    1

    Rails4.2で複数モデルを一括登録しようとするとCSRF対策に引っ掛かる。というかパラメータが吹...

    前提 作ろうとしているもの RailsでWebアプリを開発中 User has_many Hobbies / Hobby belongs_to User な Hobby モデルを 1画面(1フォーム)で複数まとめて追加したい 開発環境 OS : Ubuntu 14.04.5 64bit(vagrant環境) Ruby : 2.3

    • 0評価
    • 363PV
    clickmaker clickmaker 8ヶ月前に 回答
  • 受付中

    回答
    0

    reactjsのようなclient-sideでページ遷移するwebアプリのcsrf対策

    前提・実現したいこと reactjsでsigle page applicationを作成していますが clientサイドで生成されるformに対してcsrf対策を施したいと思って困っています。expressで生成したapiに対してのリクエストにcsrf対策をしたいと思っています。 発生している問題 調べるとcsurfというnode moduleが

    • 0評価
    • 343PV
    teratailが10ヶ月前に アップデート
  • 解決済

    回答
    2

    CSRF対策

    ページにフォームを設置し、フォームから実際送られてきた情報か確かめるために以下のプログラムを作ったのですが、実際にフォームから送信したデータも、エラーで弾いてしまいます。 関数部分です。 function h($s){ return htmlspecialchars($s, ENT_QUOTES, "UTF-8"); } function

    • 0評価
    • 648PV
    ryohasegawa ryohasegawa 10ヶ月前に コメント
  • 解決済

    回答
    3

    CSRF対策をやったらChromeでだけエラーになる

    自前でPHPでやったCSRF対策 入力フォーム画面表示時に、 ランダムなトークンを発行してHTMLのhiddenに埋め込む。 同時に発行したトークンをセッションに保持する。 保存ボタンを押したときのアクションで セッションのトークンとPOSTされたトークンを比較して、 一致していたらOK。不一致だったらエラー

    • 1評価
    • 1731PV
    icchii icchii 1年以上前に コメント
  • 解決済

    回答
    3

    XSSとCSRFについて

    XSSとCSRFについての質問です。 http://bakera.jp/glossary/クロスサイトスクリプティング脆弱性 こちらのサイトによりますと、XSSというのは他人のドメインでJavaScriptを実行する程度の意味である、とあります。 一方で、http://bakera.jp/glossary/クロスサイトスクリプティング脆弱性によりま

    • 0評価
    • 1923PV
    bill bill 1年以上前に ベストアンサー
  • 受付中

    回答
    0

    Railsのprotect_from_forgeryで生成されるauthenticity_token...

    ひょんなことからRailsのアプリを触る機会があり、Railsデフォルトで用意されているCSRF対策について調査しています。 Railsではデフォルトでapplication_controller内にprotect_from_forgery with: :exceptionの記述があります。 これにより、POST、PUTの際にヘルパーが自動的にa

    • 0評価
    • 698PV
    teratailが1年以上前に アップデート
1

タグ情報

  • あなたの順位

    -

  • タグ登録者数

    23

  • 総質問数

    31

  • 今週の質問数

    0

関連するタグ

CSRFタグのよく見られている質問

思考するエンジニアのためのQ&Aサイト「teratail」について詳しく知る