ノート:クロスサイトリクエストフォージェリ
対策について[編集]
ほとんど効果のない対策手法が書かれていたため、コメントアウトし、http_refererを用いた一般的な対策手法を記述しました。これは1997年以降の掲示板スクリプト製作者の多くが知るものです。また、CSRF攻撃を利用者側が対策することは困難であり、コメントアウト以前に書かれていたcookieの制御等はwebコンテンツが対応していなければ何の意味もありません。--Ozanari4(会話) 2012年12月15日 (土) 19:55 (UTC)
クライアント側での対策が一切ないとされていますが、英語版のCSRFの記事を読むとログアウトとともに、「ログインしたままにする」などを拒否することでリスクを下げると書かれています。画像を表示しないというあまり現実的でない対策や、スパムメールなどのリンクを開かないことも挙げられています。また利用者のできる対策はセキュリティアプリケーションを入れるしかないとここでは書かれていますが、CSRF対策機能を持っているセキュリティアプリケーションはあるんでしょうか。 サーバ側ではクッキーとフォームの値の整合確認を対策として挙げていますが、どちらか片方をハッシュ化することは盗聴に対して有効なのでしょうか。--Ma hiroo(会話) 2014年4月19日 (土) 02:06 (UTC)
クライアント側での対策が全くないとは言えないですね。ログインしたままにしないという対策であれば、IPAのCSRF対策説明サイト(参考)あたりを出典にすればいいのではないでしょうか。--NISYAN(会話) 2014年4月19日 (土) 04:48 (UTC)