CSRF(クロスサイトリクエストフォージェリ) | IT用語

CSRFとは、【Cross site request forgeries：クロス・サイト・リクエスト・フォージェリ】の略称で、Webサイトを攻撃する方法の1つです。攻撃者が他のユーザーからのHTTPリクエスト(WebブラウザからWebサーバへリクエストするデータ送信。GETやPOSTなどのデータ)を捏造して攻撃に利用します。

捏造されたHTTPリクエストによって、Webサーバーへのリクエストが攻撃者からではなく、他の犠牲者から送信されることとなり、犠牲者は意図しない処理を実行させられます。具体的な例として、掲示板に意図しない書き込みをさせられたり、オンラインショップで買い物をさせられたりなどの被害が起こります。

このような攻撃を防ぐには、Webサイトの入力フォームにワンタイムトークンを含め、Webアプリケーションのフォームの使用を強制することです。入力フォームにはGETの替わりにPOSTを使用することでも攻撃を軽減できるでしょう。例えば、掲示板であれば、投稿者が掲示板に書き込む際、掲示板自身の入力フォームから投稿させるように強制することです。Webアプリケーション自身のフォーム以外からの値を受け入れてはいけません。