CSRFとリファラについて
2007年11月26日
ちょっと遅い情報なのだけれど。以前は多くのサイトで、リファラ(PHPでは、$_SERVER['HTTP_REFERER'])を利用したCSRF対策について有効とされていた。ところが最近(1年ほど前から)では、これが使えないということになっているようだ。
理由としては、Flashを用いると、リファラを偽装してサーバにアクセスできるため。Flashのどのバージョンからそうなのかは、調べていないので不明。いずれにせよ、リファラのみでのCSRF対策は出来ない。
当然であるが、リファラを調べたほうが、調べないよりもよっぽど良いのは確か。
自戒の意味で、メモ。
理由としては、Flashを用いると、リファラを偽装してサーバにアクセスできるため。Flashのどのバージョンからそうなのかは、調べていないので不明。いずれにせよ、リファラのみでのCSRF対策は出来ない。
当然であるが、リファラを調べたほうが、調べないよりもよっぽど良いのは確か。
自戒の意味で、メモ。