PR
PR
クロスサイトリクエストフォージェリとは
クロスサイトリクエストフォージェリ(CSRF)は、利用者がログイン中のWebサービスに対し、攻撃者が用意したページを踏ませることで、本人の意思に反する操作を送らせる攻撃です。ブラウザはログイン中のクッキーを自動で付けて送信するため、あたかも利用者自身が実行したように見えます。その結果、登録情報の変更、勝手な投稿、サービスの退会などが起こりえます。
リンクを踏むだけでなく、ページに埋め込まれた自動送信でも発生します。書込みが犯罪予告なら、利用者が疑われる事態にもなりえます。多くの人が常時ログインする現在は特に注意が必要です。防御の基本は、リクエストごとに確認用のCSRFトークンを使うことや、SameSite属性のクッキーで他サイトからの送信を抑えることです。仕組みを知り、怪しいページを開かない姿勢が大切です。
