egapool https://blog.hatena.ne.jp/egapool/ バカンス駆動開発 https://egapool.hatenablog.com/ Ajax セキュリティ 前回で近いうちにAjaxのセキュリティについて書きます！と宣言しましたが、あれはつまりCSRF攻撃の対策についてでした。今回はAjaxでCSRF対策を行う方法を書きます。 先に結論 Ajax通信におけるCSRF攻撃対策は通常の遷移時に施す対策と考え方はかわりません。 実装方法 ログイン時にトークンを生成しセッションオブジェクトにセットし、トークンをクライアントに送信 クライアント側のjsスクリプト内でトークンをAjax通信時に常に付加するように設定 サーバー側でAjaxで送信されたトークンの有無とセッションオブジェクト内のトークの一致を確認 ログアウト時にセッションは全て破棄 ここで生成するト… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fegapool.hatenablog.com%2Fentry%2F2013%2F12%2F11%2F230457" title="AjaxにおけるCSRF攻撃対策 - バカンス駆動開発" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2013-12-11 23:04:57 rich https://egapool.hatenablog.com/entry/2013/12/11/230457 1.0 100%