入力→確認→登録→結果 という画面遷移を行う Webアプリケーションを作成し、PHP におけるCSRF 対策の具体例を紹介します。画面遷移は下図のようになります。
なお、トークンをセットする画面が登録確認画面だけなのは、CSRF 対策は重要な処理を行う画面に組み込むものだからです。但し、入力画面にもトークンをセットするのは間違いではありません。
以前はトークンにセッション ID...
>>続きを読む
ASP.NET の CSRF 対策は簡単で、Web フォームの初期化の際に ViewState の ViewStateUserKey にセッション ID を割り当てるだけで対応できます。
・C#
protected override void OnInit(EventArgs e)
{
base.OnInit(e);
ViewStateUserKey = Sessi...
>>続きを読む
入力→確認→登録→結果 という画面遷移を行う Webアプリケーションを作成し、Java におけるCSRF 対策の具体例を紹介します。画面遷移は下図のようになります。
トークンを設定しているのが登録確認画面だけですが、これは CSRF 対策では重要な処理を行う際にトークンの検証を行うためです。なお、入力画面でトークンを使用しても間違いではありません。
以前はトークンにセッション ...
>>続きを読む
以下の記事の内容に従って、ASP.NET(C#, VB.NET) で CSRF の安全なトークンを作成する方法をご紹介します。
CSRF の安全なトークンの作成方法
.NET の 暗号論的擬似乱数生成器 で乱数を作成できるクラスは、System. Security. Cryptography. RNGCryptoServiceProvider クラスになります。
また、安全なト...
>>続きを読む
以下の記事の内容に従って、PHP で CSRF の安全なトークンを作成する方法をご紹介します。
CSRF の安全なトークンの作成方法
PHP の 暗号論的擬似乱数生成器 で乱数を作成できる関数は、openssl_random_pseudo_bytes 関数(>=PHP5.3.0)になります。
また、安全なトークンの桁数は32桁になります。
//32バイトのCSRFトークンを作...
>>続きを読む