CSRF
Cross-Site Request Forgery
意図せずにログイン状態のリクエストを発生させられてしまう脆弱性 投稿元のwebサイトをチェックしないことで発生する
webサイトにスクリプトやリダイレクトなどを仕込むことによって、ユーザーに意図せず別のwebサイト上で何らかの操作を行わせる攻撃手法のこと
CSRF対策の必要なページを区別する
設計段階でどのページに脆弱性対策が必要か明らかにする必要がある
正規利用者の意図したリクエストを区別できるように実装する
秘密情報の埋め込み
登録画面や注文確定画面などCSRF攻撃への対策が必要なページに対して、第三者の不正利用者が知り得ない秘密情報を要求するようにする
この目的で使用される秘密情報をトークンという
パスワード再入力
重要な処理が確定する前に、再度パスワードを入力してもらう
refererのチェック