CSRF(Cross-Site Request Forgery)攻撃について

ふと気になって調べたことの備忘メモです ✍ （2022/11/3追記）ご指摘頂いた内容を踏まえて加筆修正をおこないました なぜ調べたか Webアプリケーションの開発に携わっていると CSRF という脆弱性への対処を求められますが、多くの場合利用しているフレームワークが設定追加だけで対応してくれたり、既に前任者によって適切な処置がされていたりなど、実務上で目を向ける機会はその重要性と比較して少ないのでないかと思います また、Webブラウザの実装やHTTP周辺の関連仕様の変化から陳腐化している情報も多く、現代において全体感と具体的な対処法を理解するには少しばかりハードルが高いように感じていました ですので、自身の現時点での認識を明文化して残しておくことにしました なお、私はWebセキュリティの専門家でなく、一介の開発者のため、誤りが多分に含まれる可能性があります ご指摘を頂ければ修正したいと思

[hase0510]

はまちちゃん事件はもう17年前だもんなー。若い人は知らなくて当然。こんにちはこんにちは!!

[GENS]

外部スクリプト使うにはガチガチになるけどCSP対応しておきゃだいぶ軽減されます https://developer.mozilla.org/ja/docs/Web/HTTP/CSP

[rryu]

CSRFはFetch APIができてさらにややこしくなって、SameSite=Laxで基本的にクロスオリジンなOAuthなどがめんどくさくなってきた感がある。

[ryousanngata]

CSPとCSRFは関係ないし、OAuthとCSRFは関係ないし、Fetch API以前からあるXMLHttpRequestも同様だからCSRF関係ない

[mickey-strange]

いまさらCSRFの記事がブクマ数稼いでるなあと思って軽い気持ちで開いたら想像の倍ぐらい濃い内容だった

[tettekete37564]

バックエンドがキモのように言われるけど、要はサーバに変更を加える URL が直接データを受け取って動くという実装が原因。セッションIDしか受け付けないようにすれば（CSS 脆弱性とかがなければ）大体防げる

[nmcli]

はまちちゃんのおかげで攻撃が想像しやすい

[deep_one]

フォームに毎回乱数付けて突き合わせてた。めんどくさい。

[aoken_is_god]

“一般的な名称は Cross-Site”