今時の CSRF 対策ってなにをすればいいの？ | Basicinc Enjoy Hacking!

こんにちは @zaru です。今回は昔からある CSRF (クロスサイト・リクエスト・フォージェリ) の今時の対策についてまとめてみました。もし、記事中に間違いがあれば @zaru まで DM もしくはメンションをください (セキュリティの細かい部分についての理解が乏しい…) 。 2022/08/29 : 徳丸さんからフィードバック頂いた内容を反映しました。徳丸さん、ありがとうございます！ 認証あり・なしで対策方法が違う点 トークン確認方式のデメリットのクロスドメインについての言及を削除、代わりに Cookie 改変リスクを追記 Cookie 改ざん可能性について徳丸さんの動画リンクを追記 SameSite 属性で防げない具体的なケースを追記 nginx 説明が関係なかったので削除 そもそも CSRF ってなに？ 昔からインターネットをやっている方であれば「ぼくはまちちゃん」 騒動と言えば

[ockeghem]

何点か気になる点がありDMで連絡したところ、迅速に対応いただきました。本文にもありますが、「GETメソッドで更新」はCSRF以前の問題として論外だと思います

[efcl]

CSRF攻撃に対する多層防御として利用できる対策手法について。 CSRFトークン、カスタムリクエストヘッダ、SameSite Cookie、Double Submit Cookie、Originリクエストヘッダ、Sec-Fetchリクエストヘッダについて

[odakaho]

“Safari がサポートをしてくれれば、Sec-Fetch-Site リクエストヘッダを確認するのが最も手軽な CSRF 対策になりそうです”

[kobito19]

__Host- プレフィクス知らんかった

[takezaki]

Origin リクエストヘッダの確認で十分だと思う。XHRしか使わない前提で。https://hasegawa.hatenablog.com/entry/20130302/p1

[hatest]

CSRFとかXSSの間にMIXIがあると、知らない脆弱性の名前なのかなって思っちゃう人いそう

[defiant]

この記事をおすすめしました

[uunfo]

Sec-Fetch-Site

[arakash]

CSRF対策の整理によい

[nanakoso]

こんにちはこんにちはのやつ？

[daishi_n]

15年以上前のASP.NET 2.0のころにもCSRF対策入ってたな。色々あって無効化したけどさ

[JULY]

OS やフレームワークが持っているセキュリティ機構を理解せずに、動かすために無効化する人って多いよなぁ。で、技術に興味のないSIer が上だと、そういうもんなんだぁ、とスルーしてしまう。

[mayumayu_nimolove]

Laravelを使うと勝手にやってくれる