CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

RSS

  • 解決済

    回答
    3

    CSRF対策をやったらChromeでだけエラーになる

    自前でPHPでやったCSRF対策 入力フォーム画面表示時に、 ランダムなトークンを発行してHTMLのhiddenに埋め込む。 同時に発行したトークンをセッションに保持する。 保存ボタンを押したときのアクションで セッションのトークンとPOSTされたトークンを比較して、 一致していたらOK。不一致だったらエラー

    • 1評価
    • 469PV
    redara redara 2ヶ月前
  • 解決済

    回答
    3

    XSSとCSRFについて

    XSSとCSRFについての質問です。 http://bakera.jp/glossary/クロスサイトスクリプティング脆弱性 こちらのサイトによりますと、XSSというのは他人のドメインでJavaScriptを実行する程度の意味である、とあります。 一方で、http://bakera.jp/glossary/クロスサイトスクリプティング脆弱性によりま

    • 0評価
    • 335PV
    bill bill 2ヶ月前
  • 受付中

    回答
    0

    Railsのprotect_from_forgeryで生成されるauthenticity_token...

    ひょんなことからRailsのアプリを触る機会があり、Railsデフォルトで用意されているCSRF対策について調査しています。 Railsではデフォルトでapplication_controller内にprotect_from_forgery with: :exceptionの記述があります。 これにより、POST、PUTの際にヘルパーが自動的にa

    • 0評価
    • 165PV
    kenixi kenixi 4ヶ月前
  • 解決済

    回答
    1

    同一ページ完結型フォームのCSRF対策やXSS対策について

    入力、確認、完了の各セクションを同一ページで行う場合もCSRF対策やXSS対策は必要でしょうか?

    • 0評価
    • 149PV
    poooooo poooooo 6ヶ月前
  • 受付中

    回答
    1

    DjangoでCSRFエラー。ChromeはNG。IE11はOK。

    以下のドキュメントに従って、userをカスタマイズしていました。 Customizing authentication in Django | Django documentation | Django https://docs.djangoproject.com/ja/1.9/topics/auth/customizing/ コーディングを終えて

    • 0評価
    • 247PV
    flyme2themoon flyme2themoon 7ヶ月前
  • 解決済

    回答
    1

    CSRF対策のトークンについて

    現在 PHP で ページの更新枚に変更されるトークンを使用しています。 しかしながら 複数タブを立ち上げて操作する人が多く 改善しなければいけません。 WordPress などの仕組みなども参考にして、 ・トークン有効期間:1時間 ・有効なトークン:1つ古いものまで と仕様変更しようと考えました。 これについて 考えられる デメリ

    • 0評価
    • 363PV
    pac894398 pac894398 7ヶ月前
  • 解決済

    回答
    2

    シングルサインオン認証はCSRFセーフなの?

    「あるドメイン上でログインしただけで別のドメイン上でもログインしたことになる」という,シングルサインオン認証について調べています. iframeを使ってクロスドメインでCookieを書き込む[iframe][sso] ここにGoogleが実際にそれで実現しているという言及があるのですが,当該ソースを閲覧してみたり,下に書いてある解説を読んでも

    • 5評価
    • 2240PV
    mpyw mpyw 8ヶ月前
  • 解決済

    回答
    2

    CSRFのワンタイムトークンの有効性について

    CSRFのワンタイムトークンって意味があるのでしょうか? ajaxで攻撃先のhtmlを取得してトークンを取り出しpostすれば攻撃が成立してしまいませんか?

    • 1評価
    • 573PV
    dc10_air 退会済みユーザー 8ヶ月前
  • 解決済

    回答
    2

    Laravel5.1でXSRF-TOKENをSecure属性にするには

    前提・実現したいこと PHP(Laravel5.1)で会員向けのシステムを作っています。 HTTPS環境で動かしており、templateエンジンはbladeを使用しています。 発生している問題・エラーメッセージ CSRF対策としてbladeのform機能をつかいXSRFを設定していますが、 CookieのXSRF-TOKENにセキュア属性を

    • 0評価
    • 381PV
    SYuichi SYuichi 8ヶ月前
  • 解決済

    回答
    1

    【CodeIgniter】CSRF設定をした際のエラー画面【PHP】

    お世話になっております。 Codeigniterのconfig.phpにて、 $config['csrf_protection'] = TRUE; を設定した場合、正しいアクセスが行われないと An Error Was Encountered The action you have requested is not allowed. とな

    • 0評価
    • 598PV
    happypudding happypudding 9ヶ月前
  • 解決済

    回答
    1

    CSRF対策としてリファラーを見るだけでは不十分な場面ってあるのでしょうか?

    RailsでWebアプリを開発中なのですが、 諸事情により一部ページのみRailsデフォルトのCSRF対策を切らなければならなくなりました。 代替策としてそのページにアクセスされた際は リファラー内のドメインをチェックする感じにしようと思ってるのですが、 リファラーチェックのみではCSRF対策として不十分な場面って存在するのでしょうか?

    • 1評価
    • 441PV
    opoonabst opoonabst 9ヶ月前
  • 受付中

    回答
    2

    PHPにおけるCSRF対策

    PHPアプリケーションのCSRF対策について相談させてください。 いろいろな書籍やネットなどの情報で、 CSRF対策として様々な情報が出てきます。 トークン発行すればいいとか、 トークンだけではダメとかリファラをチェックするとか、 なんとなく情報が細切れな印象があります。 アプリケーションなどによりケースバイケースと思いますが、 自分としては基本的な対

    • 0評価
    • 395PV
    1nakaji 1nakaji 1年以上前
  • 解決済

    回答
    2

    AngularJSにて、X-CSRF-TOKENの発行が終わってから他の通信を走らせたい。

    AngularJSでWebサービスを作成しており、 X-CSRF-TOKENをAPIで発行しセットする形にしているのですが、 X-CSRF-TOKENの取得が終わる前に他の通信が走ってしまい困っております。 【したいこと】 ・X-CSRF-TOKENがセットされてから他の通信をさせる。 ・X-CSRF-TOKENがセットされていないリクエストは取得し直し、

    • 0評価
    • 397PV
    cho 退会済みユーザー 1年以上前
  • 解決済

    回答
    1

    CakephpでCSRF対策用のTokenが生成されない

    Securityコンポーネントを使用すると自動的に付加されるはずのtokenが生成されません。 (Securityコンポーネントが効いていません) cakeのバージョンは2.5.4です。 保存ボタンでpostすると、blackholeメソッドに飛ばされます。 書籍、ネット等調べましたが、なぜかわかりません。お願いします。 【View】 <?php echo

    • 0評価
    • 1291PV
    seeeekik seeeekik 1年以上前
  • 解決済

    回答
    3

    PHPメールフォールのXSSとCSRF対策について

    皆様から回答を受けて 皆様回答ありがとうございました。 まだ調べている途中ですが、この質問を見た方のために参考にしているサイトと書籍をシェアしたいと思います。 メールフォーム作成の参考 - [書籍]PHP逆引きレシピ 第2版 ※第7章の551頁に「メール送信フォームを作成したい」の記述があります。 質問した構成と同じく入力→確認→送信と遷移するメール

    • 0評価
    • 4513PV
    gununu gununu 1年以上前

タグ情報

  • あなたの順位

    -

  • タグ登録者数

    12

  • 総質問数

    15

  • 今週の質問数

    0

関連するタグ

思考するエンジニアのためのQ&Aサイト「teratail」について詳しく知る