クロスサイトリクエストフォージェリとは攻撃方法の一つ。
(1)攻撃用のWebページを作成
(2)このページに善意のWebページ上のCGIへリンクを行う。
(3)攻撃用のWebページにユーザを誘導し、偽装により上記のCGIを実行させる。
cookieが有効な場合など、善意のページでユーザ認証の仕組みがあってもパスしてしまうという特徴がある。
・getではなくpostを使用しても根本的な解決とはならない。
・HTTPのRefererをチェックすれば回避することが可能(自分のサイト以外からのCGIを拒否する)だが
この場合、ブラウザ設定によりReferer送信をオフにしている正規ユーザも拒否してしまう。
・GOCHAを使用してユーザ認証するのはもっとも有効な対処と言われている。(同時にbotによる掲示板書き込みなども回避が
可能)
[情報処理 用語集 トップへ]
[FAQ CENTER トップ]