[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

230users がブックマーク コメント 10

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

CSRF(Cross-Site Request Forgery)攻撃について

230 users zenn.dev/yktakaha4

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント10

  • 注目コメント
  • 新着コメント
hase0510
はまちちゃん事件はもう17年前だもんなー。若い人は知らなくて当然。こんにちはこんにちは!!

その他
GENS
外部スクリプト使うにはガチガチになるけどCSP対応しておきゃだいぶ軽減されます https://developer.mozilla.org/ja/docs/Web/HTTP/CSP

その他
rryu
CSRFはFetch APIができてさらにややこしくなって、SameSite=Laxで基本的にクロスオリジンなOAuthなどがめんどくさくなってきた感がある。

その他
ryousanngata
CSPとCSRFは関係ないし、OAuthとCSRFは関係ないし、Fetch API以前からあるXMLHttpRequestも同様だからCSRF関係ない

その他
mickey-strange
いまさらCSRFの記事がブクマ数稼いでるなあと思って軽い気持ちで開いたら想像の倍ぐらい濃い内容だった

その他
dorapon2000
"Double Submit Cookieのアーキテクチャは通信内容が改ざんされないことを前提としているため、Synchronizer Token Patternと比較した際に固有の攻撃リスクが存在する"

その他
ryousanngata
ryousanngata CSPとCSRFは関係ないし、OAuthとCSRFは関係ないし、Fetch API以前からあるXMLHttpRequestも同様だからCSRF関係ない

2022年11月02日 リンク

その他
mickey-strange
mickey-strange いまさらCSRFの記事がブクマ数稼いでるなあと思って軽い気持ちで開いたら想像の倍ぐらい濃い内容だった

2022年11月01日 リンク

その他
rryu
rryu CSRFはFetch APIができてさらにややこしくなって、SameSite=Laxで基本的にクロスオリジンなOAuthなどがめんどくさくなってきた感がある。

2022年11月01日 リンク

その他
tettekete37564
バックエンドがキモのように言われるけど、要はサーバに変更を加える URL が直接データを受け取って動くという実装が原因。セッションIDしか受け付けないようにすれば(CSS 脆弱性とかがなければ)大体防げる

その他
nmcli
はまちちゃんのおかげで攻撃が想像しやすい

その他
deep_one
フォームに毎回乱数付けて突き合わせてた。めんどくさい。

その他
hase0510
hase0510 はまちちゃん事件はもう17年前だもんなー。若い人は知らなくて当然。こんにちはこんにちは!!

2022年11月01日 リンク

その他
aoken_is_god
"一般的な名称は Cross-Site"

その他
GENS
GENS 外部スクリプト使うにはガチガチになるけどCSP対応しておきゃだいぶ軽減されます https://developer.mozilla.org/ja/docs/Web/HTTP/CSP

2022年11月01日 リンク

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「CSRF(Cross-Site R...」が注目されています。

気持ちをシェアしよう

ツイートする

CSRF(Cross-Site Request Forgery)攻撃について

ふと気になって調べたことの備忘メモです ✍ (2022/11/3追記)ご指摘頂いた内容を踏まえて加筆修正をお... ふと気になって調べたことの備忘メモです ✍ (2022/11/3追記)ご指摘頂いた内容を踏まえて加筆修正をおこないました なぜ調べたか Webアプリケーションの開発に携わっていると CSRF という脆弱性への対処を求められますが、多くの場合利用しているフレームワークが設定追加だけで対応してくれたり、既に前任者によって適切な処置がされていたりなど、実務上で目を向ける機会はその重要性と比較して少ないのでないかと思います また、Webブラウザの実装やHTTP周辺の関連仕様の変化から陳腐化している情報も多く、現代において全体感と具体的な対処法を理解するには少しばかりハードルが高いように感じていました ですので、自身の現時点での認識を明文化して残しておくことにしました なお、私はWebセキュリティの専門家でなく、一介の開発者のため、誤りが多分に含まれる可能性があります ご指摘を頂ければ修正したいと思

ブックマークしたユーザー

  • dorapon20002025年10月09日 dorapon2000
  • ugo_uozumi2024年10月20日 ugo_uozumi
  • tokg2024年10月01日 tokg
  • pecitropen2024年08月24日 pecitropen
  • Akineko2024年02月04日 Akineko
  • t_masuda2023年10月24日 t_masuda
  • JUN_NETWORKS2023年09月27日 JUN_NETWORKS
  • buell2023年09月13日 buell
  • juser2023年07月13日 juser
  • fuyu772023年05月04日 fuyu77
  • techtech05212023年03月20日 techtech0521
  • dealforest2023年02月21日 dealforest
  • dencygon2023年01月27日 dencygon
  • astk_f2022年11月14日 astk_f
  • u_wot_m82022年11月10日 u_wot_m8
  • benok2022年11月07日 benok
  • kwy2022年11月06日 kwy
  • tocread2022年11月03日 tocread
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /