• はてなブックマーク
  • テクノロジー
  • CSRF対策のやり方、そろそろアップデートしませんか / Update your knowledge of CSRF protection
  • Twitterでシェア
  • Facebookでシェア

CSRF対策のやり方、そろそろアップデートしませんか / Update your knowledge of CSRF protection

テクノロジー カテゴリーの変更を依頼 記事元:speakerdeck.com/hiro_y
適切な情報に変更
462 usersがブックマーク コメント29

    記事へのコメント29

    • 注目コメント
    • 新着コメント
    secseek
    secseek トークンって原始的でなんだかなあ、と思っていましたがOriginヘッダーなんてシンプルなやり方があったんですね。ただ、結局はフレームワークを使うから、フレームワークがトークンって言ったらトークンなんですけど

    2024/03/10 リンク

    その他
    cpw
    cpw HTTPヘッダーにBarerトークンを仕込む方法でリクエストするようにすればそもそろCSRFの脆弱性は起きないのでは?

    2024/03/10 リンク

    その他
    umai_bow
    umai_bow そもそもフォームからのPOSTを使う気がないなら、任意の独自ヘッダチェックだけでいける

    2024/03/11 リンク

    その他
    headacher2
    headacher2 originって偽装できなかったっけ?と思ったけど過去のブラウザの脆弱性だったぽい

    2024/03/11 リンク

    その他
    circled
    circled 理論としてのCSRF対策と、それを基にした各フレームワーク側の対策実装の説明と言った感じで、実運用的にはフレームワークに準じとけと言う話よね

    2024/03/11 リンク

    その他
    unmarshal
    unmarshal セッションIDが古いブラウザ等のリクエストで利用されるリスクを回避したいならcookieでなくIDトークン等を使った方が良い気が。ステートフルなリクエスト前提のCSRFとその対策を"アップデート"した方が良いと思った

    2024/03/10 リンク

    その他
    syu-m-5151
    syu-m-5151 俺はアップデートしたいがフレームワーク次第としか答えられない...。

    2024/03/15 リンク

    その他
    love0hate
    love0hate Origin はホスト名を設定経由などで知っている必要があるが、 Sec-Fetch は知らなくても良いので使えるならよりシンプルになる

    2024/03/11 リンク

    その他
    strawberryhunter
    strawberryhunter トークンは8年前まで使ってた。懐かしさすら感じる。JWTなんてものがあるのか → Authorization: Bearerに仕込むのか面倒だ → でもCSRFトークン不要やんけ、ということでトークンで対策しなくなった。

    2024/03/11 リンク

    その他
    NOV1975
    NOV1975 しーさーふって読み方あるのか。日本らしくクロリフォにしようぜ!/リダイレクトフローでアプリ連携するところを少しバックエンド側で制御しようとしたらこの対策のせいでうまく行かないとかあるのなんとかしたい

    2024/03/11 リンク

    その他
    atico
    atico トークン方式で問題なのは、ページのキャッシュが出来ないというところなので、originヘッダーのチェックだけで済むなら、トップページにいきなりformを置くことも可能なのか。

    2024/03/11 リンク

    その他
    circled
    circled 理論としてのCSRF対策と、それを基にした各フレームワーク側の対策実装の説明と言った感じで、実運用的にはフレームワークに準じとけと言う話よね

    2024/03/11 リンク

    その他
    estragon
    estragon 言いたいことは、フレームワークが提供してる機能を適切に使え、と。これはホントそう思うけど、アプリとアプリ基盤が分かれてるような体制でないとなかなか手が回らない現場もありそうね

    2024/03/11 リンク

    その他
    umai_bow
    umai_bow そもそもフォームからのPOSTを使う気がないなら、任意の独自ヘッダチェックだけでいける

    2024/03/11 リンク

    その他
    tohokuaiki
    tohokuaiki 古のPHP4の頃に手で実装してて死んだのでフレームワーク最高とか思ってます。

    2024/03/11 リンク

    その他
    taguch1
    taguch1 アップデートされてた。

    2024/03/11 リンク

    その他
    dorapon2000
    dorapon2000 なんとなくの理解だったSameSiteについて調べるきっかけになった。

    2024/03/11 リンク

    その他
    headacher2
    headacher2 originって偽装できなかったっけ?と思ったけど過去のブラウザの脆弱性だったぽい

    2024/03/11 リンク

    その他
    yamadar
    yamadar 最後の「エンジニアとしての心がけ」が好き

    2024/03/11 リンク

    その他
    cpw
    cpw HTTPヘッダーにBarerトークンを仕込む方法でリクエストするようにすればそもそろCSRFの脆弱性は起きないのでは?

    2024/03/10 リンク

    その他
    bzb05445
    bzb05445 こんにちは。こんにちは。

    2024/03/10 リンク

    その他
    daishi_n
    daishi_n これなら昔のASP.NETでも実装は楽だな。

    2024/03/10 リンク

    その他
    akulog
    akulog なるほどなぁ

    2024/03/10 リンク

    その他
    shingo-sasaki-0529
    shingo-sasaki-0529 やっぱフレームワークの機能を惰性で使ってはいるけど、現代では CSRF って大した脅威ではなくなってきてるよなぁ。よっぽどじゃなければクロスオリジンのCookie許可しないし。(レガシーブラウザは知らない)

    2024/03/10 リンク

    その他
    secseek
    secseek トークンって原始的でなんだかなあ、と思っていましたがOriginヘッダーなんてシンプルなやり方があったんですね。ただ、結局はフレームワークを使うから、フレームワークがトークンって言ったらトークンなんですけど

    2024/03/10 リンク

    その他
    kiririmode
    kiririmode SameSiteの明示指定+HSTS、Originヘッダのチェック(、Sec-Fetch-*のチェック)でいけそう

    2024/03/10 リンク

    その他
    sora_h
    sora_h そうなんだよね

    2024/03/10 リンク

    その他
    sho
    sho せやな。新規に開発するならこれで十分

    2024/03/10 リンク

    その他
    uunfo
    uunfo sea-surf と言う読み方は知らなかった

    2024/03/10 リンク

    その他
    unmarshal
    unmarshal セッションIDが古いブラウザ等のリクエストで利用されるリスクを回避したいならcookieでなくIDトークン等を使った方が良い気が。ステートフルなリクエスト前提のCSRFとその対策を"アップデート"した方が良いと思った

    2024/03/10 リンク

    その他
    akymrk
    akymrk "SvelteKitの例""最初はトークン方式(いろいろ)が提案されるが、Originヘッダーの利用で十分では?と結論""古いブラウザにも対応できる""Originヘッダーなしの場合、不正とみなす""最近採用さ\nれることが増えている"

    2024/03/10 リンク

    その他
    NetPenguin
    NetPenguin 最近はOriginヘッダ+X-Requested-With(カスタムヘッダ)でやってる。

    2024/03/10 リンク

    その他
    Shinwiki
    Shinwiki プラス、トークンなのよね

    2024/03/10 リンク

    その他
    peketamin
    peketamin Originヘッダーチェックいいな

    2024/03/10 リンク

    その他
    kazuph1986
    kazuph1986 そうそう、これ知りたかった。最近のフレームワークはどうやってるのかと思っていたので(自分で調べろという話)

    2024/03/10 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    CSRF対策のやり方、そろそろアップデートしませんか / Update your knowledge of CSRF protection

    PHPerKaigi 2024 • Day 1での登壇資料です。 https://phperkaigi.jp/2024/ https://fortee.jp/phperkaig...

    ブックマークしたユーザー

    • Tomohiro2024/05/07 Tomohiro
    • TakayukiN6272024/04/09 TakayukiN627
    • hajimepg2024/04/01 hajimepg
    • lugecy2024/03/31 lugecy
    • ysirman2024/03/25 ysirman
    • stntaku2024/03/18 stntaku
    • syu-m-51512024/03/15 syu-m-5151
    • midas365452024/03/14 midas36545
    • field_combat2024/03/13 field_combat
    • kaiton2024/03/13 kaiton
    • tomiyanx2024/03/13 tomiyanx
    • cubed-l2024/03/12 cubed-l
    • ochikage2024/03/12 ochikage
    • samurairodeo2024/03/12 samurairodeo
    • okyawa2024/03/12 okyawa
    • gonhainu2024/03/11 gonhainu
    • nrtn2024/03/11 nrtn
    • knj29182024/03/11 knj2918
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.