[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

338users がブックマーク コメント 10

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

CSRF 対策はいまだに Token が必須なのか?

338 users zenn.dev/jxck

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント10

  • 注目コメント
  • 新着コメント
password1234
CSRFはユーザーが能動的に「する」ものではなく、意図せず「させられてしまう」ものであることを踏まえると、古いブラウザを"サポート"するしないという考え方自体が不自然に思える。Tokenをつける一択では?

その他
toaruR
クライアント側の実装には依存できないよなぁ

その他
coppieee
IEのようなサポート終わってるやつはXSSし放題だろしTokenつけても攻撃防げないから、わざわざIEのためにTokenつける意味はないと思うぞ

その他
rryu
リクエストヘッダのHostとOriginの比較で事足りるのではということなのだが、それを正確に送ってきてくれる環境に依存するのはちょっと怖いと思う。何か穴がある気が...

その他
kiririmode
Samesiteのlax以上でCSRF耐性はどこまで獲得できるのか

その他
teppeis
脆弱性対策で古い環境を考慮するかは各サービスで判断すること。例えばIEでログインもできないようなサービスがCSRF対策だけIE考慮する意味ないよね

その他
rryu
rryu リクエストヘッダのHostとOriginの比較で事足りるのではということなのだが、それを正確に送ってきてくれる環境に依存するのはちょっと怖いと思う。何か穴がある気が...

2024年01月19日 リンク

その他
versatile
状況がわかってありがたい。token ってなんともアドホックな感じなので根本解決してほしいが古いブラウザがある以上むずいよね・・・

その他
turanukimaru
Springとかフレームワークの機能でTokenを付ける一択なんだけど...いい加減無くても良いようにならないかとは思うよなぁ。なんかのかみ合わせで動かなくなった時がキツイし俺らが好きだったWebはこんなんじゃなかったはず

その他
pixmap
ありがたい。Tokenを無くす実装を正当化するのに、こんだけ考えないといけないなら、深く考えずにTokenを使うようにした方が現状まだ楽だな。その上でSameSiteも無意識に使うようにしておきたい。

その他
toaruR
toaruR クライアント側の実装には依存できないよなぁ

2024年01月19日 リンク

その他
coppieee
coppieee IEのようなサポート終わってるやつはXSSし放題だろしTokenつけても攻撃防げないから、わざわざIEのためにTokenつける意味はないと思うぞ

2024年01月19日 リンク

その他
nemoba
Cookie使わない副作用を持ってたらCSRF出来るから完全ではないつう話でもある。実用面はさておき

その他
password1234
password1234 CSRFはユーザーが能動的に「する」ものではなく、意図せず「させられてしまう」ものであることを踏まえると、古いブラウザを"サポート"するしないという考え方自体が不自然に思える。Tokenをつける一択では?

2024年01月19日 リンク

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「CSRF 対策はいまだ...」が注目されています。

気持ちをシェアしよう

ツイートする

CSRF 対策はいまだに Token が必須なのか?

Update: ブログにまとめた。 令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io CSR... Update: ブログにまとめた。 令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io CSRF 対策は One Time Token を form なりに付与して、サーバ側でチェックすれば良い。 それをデフォルトでサポートしてるフレームワークなどもあるし、なくてもライブラリでいくらでも対応できる。 どうせ完全にステートレスなサービスはなかなかないので、サーバ側に redis や memcache を用意するのも別に大変じゃない。 なので、 CSRF 対策として Token を付与するのは、最も安全で推奨できる方式ではある。 っていうのを踏まえた上で、もう SameSite=Lax デフォルトだけど、今でも Token 必須なの?みたいなのがたびたび話に出るので、いい加減まとめる。 前提 この話は、スコープがどこなのかによって話が多少変わるので、そ

ブックマークしたユーザー

  • pecitropen2024年08月24日 pecitropen
  • techtech05212024年06月24日 techtech0521
  • lunastera2024年05月03日 lunastera
  • kyo_ago2024年04月27日 kyo_ago
  • winterfall2024年04月18日 winterfall
  • warufuzaketaichi2024年03月19日 warufuzaketaichi
  • oinume2024年03月19日 oinume
  • exizlynx2024年02月19日 exizlynx
  • lufiabb2024年02月08日 lufiabb
  • hamaco2024年01月31日 hamaco
  • sskoji2024年01月31日 sskoji
  • m0t0m0t02024年01月25日 m0t0m0t0
  • miki_bene2024年01月24日 miki_bene
  • shimbaco2024年01月22日 shimbaco
  • iga_k2024年01月21日 iga_k
  • zakinco2024年01月20日 zakinco
  • repon2024年01月20日 repon
  • kiririmode2024年01月20日 kiririmode
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /