問題
CSRF(クロスサイトリクエストフォージェリ)の対策は何か。
選択肢
- 1セッションごとのトークンでリクエスト検証
- 2全Cookie無効
- 3パスワード暗号化
- 4メール認証
正解
1. セッションごとのトークンでリクエスト検証
詳しい解説を見る解説を閉じる
解説
CSRF(クロスサイトリクエストフォージェリ)は、ログイン中の利用者に罠サイトを踏ませ、本人が意図しないリクエスト(送金や設定変更など)を正規サイトへ送信させる攻撃である。対策の代表は、セッションごとに秘密のトークンを発行してフォームに埋め込み、リクエスト受信時にトークンの一致を検証する方式で、攻撃者はトークンを知り得ないため偽造リクエストを排除できる。誤答の全Cookie無効化はWebの利便性を損ない現実的でなく、パスワード暗号化やメール認証はリクエストの正当性検証にはならない。基本情報ではXSSとの混同を狙う出題が頻出のため、CSRFは「リクエストの強要」、XSSは「スクリプトの実行」と区別して覚えること。
一問一答
科目A 180問+科目B 60問