infoMore than 1 year has passed since last update.
「重要な処理」の際に混入する脆弱性
Last updated at Posted at 2021-10-13
クロスサイト・リクエストフォージェリ(CSRF)
- 発生箇所
- クッキーのみでセッション管理が行われているサイト
- HTTP認証、TLSクライアント証明書のみで利用者の識別が行われているサイト
- 根本的対策
- CSRF対策の必要なページを区別する
- 正規利用者の意図したリクエストを確認できるように実装
- 秘密情報(トークン)の埋め込み
- パスワード再入力
- Refererのチェック
- 保険的対策
- 重要な処理の実行後に登録済みのメールアドレスに通知メールを送信する
クリックジャッキング
- 発生箇所
- マウスなどポインティングデバイスの操作のみで重要な処理を実行でき、かつ認証を要するページ
- 対策
- X-Frame-Options
- DENY iframe読み込まれない
- SAMEORIGIN
- phpでは,header('X-Frame-Options: SAMEORIGIN);
- Apache,nginxで設定しても
Register as a new user and use Qiita more conveniently
- You get articles that match your needs
- You can efficiently read back useful information
- You can use dark theme
What you can do with signing up