クロスサイトリクエストフォージェリ(CSRF)とその対策

本資料は、web アプリケーションにおける脆弱性のひとつ、CSRF (クロスサイトリクエ ストフォージェリ) の仕組みとその対策に関する説明資料です。 また、CSRF 対策のためのライブラリのいくつかについて、その概要と適用例も紹介しています。 Webアプリケーションを作成する開発者の方々が、CSRF 脆弱性に対する理解を深め、よりセキュアなWebアプリケーションの開発の一助となれば幸いです。 自習用の資料や勉強会での資料としてご活用ください。 - 改訂版+1: 図版や誤記の修正 (2015年10月20日) ※ コメントくださった皆様ありがとうございます! - 改訂版: JPCERT/CC Web サイトにて公開 (2015年10月6日) - 初版: OSC2015Hokkaido 講演資料 (2015年6月13日)

[ockeghem]

トークンではなくnonce(ナンス)と書いているからには、ワンタイム性を求めているのだろうか。要件についての説明がほしい

[ya--mada]

自分に とって、CSRF成立のシナリオがわかずらくって、別なサイトのフォームを投げられるっていう所でつまづいてしまう。

[Dai_Kamijo]

“クロスサイトリクエストフォージェリ(CSRF)とその対策手法 (OSC2015Hokkaido版)” — 無限猿(id:sucrose)@18月病 (@Scaled_Wurm) June 15, 2015 from Twitter https://twitter.com/Dai_Kamijo June 16, 2015 at 09:07AM via IFTTT

[moguno]

Muridana Dev wrote: http://t.co/zf9aRCn68v クロスサイトリクエストフォージェリ(CSRF)とその対策手法 (OSC2015Hokkaido版) | 124 users

[wate_wate]

後で

[deamu]

「csrfp_token」「OWASP_CSRFTOKEN」　←利用ライブラリについての情報が一時token名に乗るデフォルト設定をよく見かけるけど、特定されるデメリットなんて現実的に気にするレベルじゃないって事なんかな？(・ω・`?)