クロスサイトリクエストフォージェリとは？

FAQ

攻撃者は踏み台サーバーに攻撃対象サーバーへのリクエストを発行するリンクやスクリプトを挿入します。このリンクやスクリプトは踏み台サーバーを閲覧したユーザーのブラウザに送り込まれます。閲覧者が誤ってこのリンクをクリックするなどの操作をすると攻撃対象サーバーへのリクエストが発行されるしくみです。ユーザはクロスサイトリクエストフォージェリの仕込まれたサイトにアクセスすることによって、特定の掲示板やアンケートなどに書き込まされたり、オンラインショップで買い物をさせられたりしてしまう。ブラウザでアクセスしただけで実行されてしまうため、ユーザが閲覧前に危険が無いかを調べて回避するのは現実的には難しい。サーバ側でクロスサイトリクエストフォージェリを防ぐには、サイト外からのリクエストの受信を拒否する必要があります。ヘッダに含まれる情報を元に参照元が正しいページかどうかをチェックしたり、フォームの一部にランダムな数値を隠してアクセスの一貫性をチェックしたり、コンピュータが読み取れないよう画像として表示したチェックコードの入力をユーザに要求するなどの手法があり、これらを組み合わせて対策を講じる必要があります。