CSRF
【シーエスアールエフ】
Cross Site Request Forgeries/クロスサイトリクエストフォージェリ
Webサイトにスクリプトや自動転送(HTTPリダイレクト)を仕込むことによって、閲覧者に意図せず別のWebサイト上で何らかの操作(掲示板への書き込みなど)を行なわせる攻撃手法。{LF}ユーザはCSRFの仕込まれたサイトにアクセスすることによって、特定の掲示板やアンケートなどに書き込まされたり、オンラインショップで買い物をさせられたりしてしまう。ブラウザでアクセスしただけで実行されてしまうため、ユーザが閲覧前に危険が無いかを調べて回避するのは現実的には難しい。{LF}サーバ側でCSRFを防ぐには、サイト外からのリクエストの受信を拒否する必要がある。ヘッダに含まれる情報を元に参照元が正規のページかどうかをチェックしたり、フォームの一部にランダムな数値を隠しておいてアクセスの一貫性をチェックしたり、コンピュータが読み取れないよう画像として表示したチェックコードの入力をユーザに要求するなどの手法があり、これらを組み合わせて対策を講じる必要がある。
◆関連用語
Webサイト;スクリプト;HTTPリダイレクト;ユーザ;アクセス;オンラインショップ;ブラウザ;サーバ;ヘッダ;フォーム;コンピュータ
| インセプト 「IT用語e-Words」 JLogosID : 7794641 |