「重要な処理」の際に混入する脆弱性

クロスサイト・リクエストフォージェリ（CSRF)

• 発生箇所
  • クッキーのみでセッション管理が行われているサイト
  • HTTP認証、TLSクライアント証明書のみで利用者の識別が行われているサイト
• 根本的対策
  • CSRF対策の必要なページを区別する
  • 正規利用者の意図したリクエストを確認できるように実装
    • 秘密情報（トークン）の埋め込み
    • パスワード再入力
    • Refererのチェック
• 保険的対策
  • 重要な処理の実行後に登録済みのメールアドレスに通知メールを送信する

クリックジャッキング

• 発生箇所
  • マウスなどポインティングデバイスの操作のみで重要な処理を実行でき、かつ認証を要するページ
• 対策
  • X-Frame-Options
    • DENY iframe読み込まれない
    • SAMEORIGIN
  • phpでは,header('X-Frame-Options: SAMEORIGIN);
  • Apache,nginxで設定しても