ASP.NET MVC における CSRF 攻撃対策:ValidateAntiForgeryToken の活用方法
カスタム属性によるトークン検証
標準の ValidateAntiForgeryToken 属性の代わりに、独自の検証ロジックを持つカスタム属性を作成することも可能です。以下は、リクエストの認証を処理するカスタム属性の例です。
public class CustomValidateAntiForgeryToken : AuthorizeAttribute
{
public override void OnAuthorization(AuthorizationContext context)
{
...
6月15日 16:49 投稿
クロスサイトリクエストフォージェリ脆弱性の解析と防御策
概要
以下のリソースを参考にしました:https://www.freebuf.com/articles/web/118352.html
CSRFとは何か
CSRF(Cross-Site Request Forgery)は日本語で「クロスサイトリクエストフォージェリ」と呼ばれ、XSSと混同されやすいですが、重要な違いがあります。CSRFではCookieを盗むのではなく、既存の認証情報を悪用します。つまり、攻撃者が被害者の身分を装い、本人が気 ...
6月13日 17:52 投稿
js-cookieのセキュリティ対策:脆弱性から修正までの実践
js-cookieのセキュリティ対策:脆弱性から修正までの実践
現代のウェブ開発において、ブラウザのCookieを扱うことは重要なタスクです。js-cookieは軽量で使いやすいJavaScript APIで、Cookieの管理を簡素化しますが、これほど熟したライブラリでもセキュリティ上のリスクが存在する可能性があります。ここでは、js-cookieの脆弱性の特定から修正までのプロセスを詳しく解説 ...
5月22日 18:08 投稿
Flaskでのユーザー登録・ログイン機能の実装
実装前に理解しておくべき重要ポイント
CSRFトークンの取得方法
クライアントサイドでCookieからCSRFトークンを取得する関数です:
function getCsrfToken(tokenName) {
var pattern = new RegExp("\\b" + tokenName + "=([^;]*)");
var match = document.cookie.match(pattern);
return match ? match[1] : null;
}
フォーム送信のカスタマイズ
Ajaxを ...
5月9日 23:43 投稿