問題
CSRF(Cross-Site Request Forgery)攻撃に対する有効な対策として、最も適切なものはどれか。
選択肢
- 1すべての入力値をエスケープしてからHTMLに出力する。
- 2プレースホルダ(バインド機構)を使ったSQL文を用いる。
- 3リクエストごとに推測困難なトークンを発行し、サーバ側で検証する。
- 4パスワードをハッシュ化して保存する。
正解
3. リクエストごとに推測困難なトークンを発行し、サーバ側で検証する。
詳しい解説を見る解説を閉じる
解説
CSRF対策の代表は、推測困難なトークン(CSRFトークン)をフォームに埋め込み、サーバ側で照合する方式。1はXSS対策、2はSQLインジェクション対策、4はパスワード漏洩対策であり、いずれもCSRFには直接効かない。
一問一答
全400問を繰り返し学習