CSRF
クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。
RSS
-
受付中
- 回答
- 1
【PHP】CSRF対策を施す(トークンを埋め込む)場所について
練習用に書籍を管理するアプリケーションをPHP、MariaDBで作成しています。 CSRF対策を施す(トークンを埋め込む)場所についてアドバイスお願いします。 構成は下記。 ①login.php id、パスワード入力画面 セッションスタート、SESSIONにtokenを設定、hiddenでtokenをPOST送信。 ↓ ②login_check.ph
- 0評価
- 64PV
-
受付中
- 回答
- 0
iOSから自前Django API Serverを叩くときのCSRFトークンについて
DjangoでAPIサーバを作り、SwiftからPOSTで叩こうとしています。が、CSRTトークンをつけていないため Forbidden (CSRF cookie not set.): と言うエラーが出てきます。 少しググったところ @csrf_exempt つければいいよ!と出てきました。CSRFトークンのセキュリティを無効化するものと解釈しております
- 0評価
- 46PV
teratailが1日前に アップデート -
解決済
- 回答
- 3
【PHP】簡易掲示板の作成② 記述法、セキュリティについてアドバイス頂けないでしょうか。
簡易掲示板をつくる中でうまく動作せず先日質問し、その後も構成を変えるなどしてとりあえず自分が思ったように動くものにはなりました。 (過去の質問はこちら) そこで完成したものをご確認頂き、下記の点についてアドバイスを頂ければと思います。 記述方法に誤りはないか セキュリティ対策は十分か ---バージョン--- MariaDB 1
- 0評価
- 1283PV
-
解決済
- 回答
- 4
【PHP】作成したメールフォームに脆弱性がないか、アドバイスもらえないでしょうか。
PHPでメールフォームを作成したので、脆弱性がないかアドバイスいただけないでしょうか。 エンジニアでもなければ、PHPもろくに書けない雑魚ですが、「php メールフォーム 作り方」でググって表示されるサイトを見ると、「んんんんん???」と思うところがあります。 これらを参考にしたり、コピペする方は、記述されているコードの良し悪しは判断できないかと思います
- 6評価
- 15002PV
-
解決済
- 回答
- 2
外部サーバにリクエストして、そのレスポンスを取得して表示したい
外部にリクエスト送信して、外部サーバからリクエストされた情報のレスポンスを取得して、その引数を表示する方法 以下のように送る場合 <form action="https://extra_server.co.jp" method="post"> <input type="hidden" name="csrf_token" value="12345
- 0評価
- 156PV
-
受付中
- 回答
- 1
Rails4.2で複数モデルを一括登録しようとするとCSRF対策に引っ掛かる。というかパラメータが吹...
前提 作ろうとしているもの RailsでWebアプリを開発中 User has_many Hobbies / Hobby belongs_to User な Hobby モデルを 1画面(1フォーム)で複数まとめて追加したい 開発環境 OS : Ubuntu 14.04.5 64bit(vagrant環境) Ruby : 2.3
- 0評価
- 226PV
-
受付中
- 回答
- 0
reactjsのようなclient-sideでページ遷移するwebアプリのcsrf対策
前提・実現したいこと reactjsでsigle page applicationを作成していますが clientサイドで生成されるformに対してcsrf対策を施したいと思って困っています。expressで生成したapiに対してのリクエストにcsrf対策をしたいと思っています。 発生している問題 調べるとcsurfというnode moduleが
- 0評価
- 236PV
teratailが5ヶ月前に アップデート -
解決済
- 回答
- 2
CSRF対策
ページにフォームを設置し、フォームから実際送られてきた情報か確かめるために以下のプログラムを作ったのですが、実際にフォームから送信したデータも、エラーで弾いてしまいます。 関数部分です。 function h($s){ return htmlspecialchars($s, ENT_QUOTES, "UTF-8"); } function
- 0評価
- 476PV
-
解決済
- 回答
- 3
CSRF対策をやったらChromeでだけエラーになる
自前でPHPでやったCSRF対策 入力フォーム画面表示時に、 ランダムなトークンを発行してHTMLのhiddenに埋め込む。 同時に発行したトークンをセッションに保持する。 保存ボタンを押したときのアクションで セッションのトークンとPOSTされたトークンを比較して、 一致していたらOK。不一致だったらエラー
- 1評価
- 1038PV
-
解決済
- 回答
- 3
XSSとCSRFについて
XSSとCSRFについての質問です。 http://bakera.jp/glossary/クロスサイトスクリプティング脆弱性 こちらのサイトによりますと、XSSというのは他人のドメインでJavaScriptを実行する程度の意味である、とあります。 一方で、http://bakera.jp/glossary/クロスサイトスクリプティング脆弱性によりま
- 0評価
- 1229PV
-
受付中
- 回答
- 1
DjangoでCSRFエラー。ChromeはNG。IE11はOK。
以下のドキュメントに従って、userをカスタマイズしていました。 Customizing authentication in Django | Django documentation | Django https://docs.djangoproject.com/ja/1.9/topics/auth/customizing/ コーディングを終えて
- 0評価
- 516PV
-
受付中
- 回答
- 0
Railsのprotect_from_forgeryで生成されるauthenticity_token...
ひょんなことからRailsのアプリを触る機会があり、Railsデフォルトで用意されているCSRF対策について調査しています。 Railsではデフォルトでapplication_controller内にprotect_from_forgery with: :exceptionの記述があります。 これにより、POST、PUTの際にヘルパーが自動的にa
- 0評価
- 507PV
teratailが11ヶ月前に アップデート -
解決済
- 回答
- 1
-
解決済
- 回答
- 1
CSRF対策のトークンについて
現在 PHP で ページの更新枚に変更されるトークンを使用しています。 しかしながら 複数タブを立ち上げて操作する人が多く 改善しなければいけません。 WordPress などの仕組みなども参考にして、 ・トークン有効期間:1時間 ・有効なトークン:1つ古いものまで と仕様変更しようと考えました。 これについて 考えられる デメリ
- 0評価
- 669PV
-
解決済
- 回答
- 2
シングルサインオン認証はCSRFセーフなの?
「あるドメイン上でログインしただけで別のドメイン上でもログインしたことになる」という,シングルサインオン認証について調べています. iframeを使ってクロスドメインでCookieを書き込む[iframe][sso] ここにGoogleが実際にそれで実現しているという言及があるのですが,当該ソースを閲覧してみたり,下に書いてある解説を読んでも
- 5評価
- 2913PV
-
解決済
- 回答
- 2
Laravel5.1でXSRF-TOKENをSecure属性にするには
前提・実現したいこと PHP(Laravel5.1)で会員向けのシステムを作っています。 HTTPS環境で動かしており、templateエンジンはbladeを使用しています。 発生している問題・エラーメッセージ CSRF対策としてbladeのform機能をつかいXSRFを設定していますが、 CookieのXSRF-TOKENにセキュア属性を
- 0評価
- 789PV
-
解決済
- 回答
- 2
CSRFのワンタイムトークンの有効性について
CSRFのワンタイムトークンって意味があるのでしょうか? ajaxで攻撃先のhtmlを取得してトークンを取り出しpostすれば攻撃が成立してしまいませんか?
- 1評価
- 1243PV
退会済みユーザー
1年以上前に
コメント
-
解決済
- 回答
- 1
【CodeIgniter】CSRF設定をした際のエラー画面【PHP】
お世話になっております。 Codeigniterのconfig.phpにて、 $config['csrf_protection'] = TRUE; を設定した場合、正しいアクセスが行われないと An Error Was Encountered The action you have requested is not allowed. とな
- 0評価
- 1207PV
-
解決済
- 回答
- 1
CSRF対策としてリファラーを見るだけでは不十分な場面ってあるのでしょうか?
RailsでWebアプリを開発中なのですが、 諸事情により一部ページのみRailsデフォルトのCSRF対策を切らなければならなくなりました。 代替策としてそのページにアクセスされた際は リファラー内のドメインをチェックする感じにしようと思ってるのですが、 リファラーチェックのみではCSRF対策として不十分な場面って存在するのでしょうか?
- 1評価
- 772PV
-
受付中
- 回答
- 2
PHPにおけるCSRF対策
PHPアプリケーションのCSRF対策について相談させてください。 いろいろな書籍やネットなどの情報で、 CSRF対策として様々な情報が出てきます。 トークン発行すればいいとか、 トークンだけではダメとかリファラをチェックするとか、 なんとなく情報が細切れな印象があります。 アプリケーションなどによりケースバイケースと思いますが、 自分としては基本的な対
- 0評価
- 567PV
