CSRFとは

CSRF(Cross-Site Request Forgery)とは直訳するとクロスサイトによるリクエスト攻撃を意味します。

ログイン中のユーザーを攻撃者が用意した攻撃用Webサイトへ誘導し強制的にリクエストを送りサーバーを攻撃させます。

例えば、オンラインバンキングを利用しているユーザーに対してキャンペーンなどと偽って攻撃用サイトへ誘導させます。

攻撃用サイトにはクリックしただけで不正なリクエストを送信させるスクリプトを用意しておき、サーバーを攻撃します。

これによりDBなどの情報を書き換えたり、サーバーの情報を盗んだり悪質なリクエストを送らせます。

CSRF対策

CSRFへ対策するには一般的にトークンを用います。

サイトとサーバーにトークンを持たせます。

具体的にはユーザーが正規サイトへアクセスした際に正規サイトとサーバーのみが知るトークンを持たせます。

サーバーは送信されたリクエストのトークンが一致しているか判断し、正規サイトからのリクエストか判断します。