ィンドウからの操作への対策

　JavaScriptを利用して他のフレームやウィンドウから操作される事への考慮も必要です。

　たとえば隠れフレームやポップアップ広告を装ったウィンドウ等に標的サイトを表示し、JavaScriptによってユーザーが実際操作しているかのように画面遷移させるといった攻撃手段が考えられます。
　これをやられるとリファラーチェックもhiddenタグに埋め込んだワンタイムトークンも意味がありません。

　これに対してはJavaScriptでフレームやウィンドウの情報を取得してチェックをかけることで対策できると思います。
　その際にJavaScriptがOFFになっているユーザーが操作不能になってしまわないよう注意してください。

必ずユーザーからの入力を求める

　重要な操作を確定する前に必ずユーザーの入力を求めます。
　ユーザーの利便性はある程度損なわれますが、CSRFに対してはかなり有効なガードとなります。

　たとえばユーザーのIDとパスワードや画面に画像として表示したワンタイムトークンの入力を求めるとか言った手法は、実際にオークションサイトやネットバンキングで実装されています。

　金銭の移動が発生する操作やサービスからの退会といった重大な操作など、利便性より安全性を求めるべき場面ではこうした対策を採るべきでしょう。

　一方でコミュニティサイト等において気軽に記事をポストしたりコメントを付けたりといった軽快性が必要な場面では、こういった実装は好ましくないように思えます。

エンドユーザーとしてのCSRF対策

　以下はエンドユーザーとしてCSRFの被害にあわないための対策です。

都度ログインログアウト

　CSRFは正規ユーザーのログイン中に危険がありますので、サイトにログイン中はそのサイトから出ないようにし、サイトの利用が終わったら必ずログアウトすることで、少なくともあなたがCSRFの被害にあうことは防ぐことができます。

　複数のブラウザを使い分けるというのも有効です。

発見したら報告する

　普段利用しているサイトにCSRFの脆弱性があることをもし見つけてしまったら、サイトの管理者にそっと教えてあげましょう。

　その際サイトの管理者からのレスポンスが悪ければ、静かに都度ログインログアウトの自衛策を取りつつ利用を続けるか、利用をやめるかしたほうがいいと思います。
　それをサイトの脆弱性として広く喧伝するなどの行為はやめた方が無難です。

　そのサイトの

　次へ 　前へ

ＩＴ7掲示板へ

フォローアップ:

• Referrer（リファラー）って、悪用しようと思えばできそうですね。 元ＳＥのおじさん 2005/1/29 15:14:22 (0)
• FireFoxのPrefBarでのReferrer送出切替は確かに便利です。拡張機能で設定し利用するようお勧めします。 元ＳＥのおじさん 2005/1/29 10:55:05 (1)
  • 「Ｆ８」キーでPrefBarの表示・非表示の切り替えが簡単にできます。便利です。 元ＳＥのおじさん 2005/1/29 12:14:53 (0)

　

　

　

拍手はせず、拍手一覧を見る

---

★登録無しでコメント可能。今すぐ反映　通常 ｜動画・ツイッター等 ｜htmltag可（熟練者向）
（タグCheck ｜タグに'だけを使っている場合のcheck ｜checkしない）（各説明）

（←ペンネーム新規登録ならチェック）
↓ペンネーム（2023/11/26から必須）

↓パスワード（ペンネームに必須）

（ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。）
↓画像認証
（ 上画像文字を入力）
ルール確認＆失敗対策
画像の URL (任意):

投稿コメント全ログ 　コメント即時配信 　スレ建て依頼 　削除コメント確認方法

---

★阿修羅♪　http://www.asyura2.com/ 　since 1995
　題名には必ず「阿修羅さんへ」と記述してください。
掲示板,ＭＬを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。