「重要な処理」の際に混入する脆弱性
809 ワード
クロスサイト・リクエストフォージェリ(CSRF)
- 発生箇所
- クッキーのみでセッション管理が行われているサイト
- HTTP認証、TLSクライアント証明書のみで利用者の識別が行われているサイト
- 根本的対策
- CSRF対策の必要なページを区別する
- 正規利用者の意図したリクエストを確認できるように実装
- 秘密情報(トークン)の埋め込み
- パスワード再入力
- Refererのチェック
- 保険的対策
- 重要な処理の実行後に登録済みのメールアドレスに通知メールを送信する
クリックジャッキング
- 発生箇所
- マウスなどポインティングデバイスの操作のみで重要な処理を実行でき、かつ認証を要するページ
- 対策
- X-Frame-Options
- DENY iframe読み込まれない
- SAMEORIGIN
- phpでは,header('X-Frame-Options: SAMEORIGIN);
- Apache,nginxで設定しても
- X-Frame-Options
Author And Source
この問題について(「重要な処理」の際に混入する脆弱性), 我々は、より多くの情報をここで見つけました https://qiita.com/Eokutsu/items/8ecd6b8851f4919fa530著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .