CSRFCross-Site Request Forgery

CSRF は、ユーザーが正規サイトにログイン済みの状態で、悪意あるサイトに誘導されると、ブラウザが自動付与するセッションCookieを使って利用者の意思に反した送金・パスワード変更・投稿等を実行されてしまう攻撃です。対策はOWASPに従い、(1) CSRFトークン (リクエストごとにランダム値を埋め込みサーバー検証) (2) SameSite=Lax/Strict Cookie 属性 (3) Origin/Refererヘッダー検証 (4) ダブルサブミットCookieパターン などを多層で適用します。SameSite=Lax は2020年以降の主要ブラウザでデフォルトになり、トップレベルナビゲーション以外のクロスサイトCookie送信を抑制します。状態変更を伴う操作は必ずPOST/PUT/DELETEで、GETでは行わないことも基本原則です。