PHP
CSRF対策

CSRF対策とは何?

Webアプリケーションを作成するにあたって、「CSRF対策」という言葉を聞いたことはありませんか?
そこで、今回は「CSRF対策」について記載します。

CSRF対策とは?

「CSRF」とは、リクエストを強要させることを指します。
つまり、別のサイトにコンテンツ上したはずのリンクが実は罠で、これを踏ませてWebアプリケーションの重要な処理(例えば、ネットショッピングの最終決済など)を呼び出すように誘導することを表すのです。
よって、このような悪徳攻撃に対策をとるのが、「CSRF対策」です。

この攻撃の対象となるのは、フォームがサーバーから供給されたものだと確認していないWebアプリケーションです。
そのため、罠であるリンクを埋め込まれないようにする対策が必要なのです。

CSRFの対策方法とは?

では、その対策とは一体何でしょうか?

使うキーワードは、openssl_random_pseudo_bytesbin2hexです。

openssl_random_pseudo_bytes

これは、疑似乱数のバイト文字列(いわゆる普通の文字列)を生成する働きがあります。
詳しくはコチラ

bin2hex

これは、バイナリ(2進数)のデータを16進表現に変換する働きがあります。
詳しくはコチラ