CSRF 対策について＋おまけ

【PHP】フレームワークについて語るスレ5【総合】
http://pc10.2ch.net/test/read.cgi/php/1159579507/

833 名前：nobodyさん 投稿日：2007/01/29(月) 16:37 ID:???
おまいら CSRF 対策どうしてる?
やっぱりワンタイムチケット使ってるのかな?

フレームワークってGETでページ遷移、POSTで内容を取得みたいなことが多いけど
よくあるCSRF対策だとPOSTでページ遷移しろって書いてあるし

実装面倒だからWAF使おうかなと思ってたりするけど他の人はどうしている?
フレームワークにワンタイムチケットのクラスとかつっこんで使うのが主流なのだろうか

841 名前：nobodyさん 投稿日：2007/01/29(月) 19:44 ID:???
>>839
> まず、アプリケーションの作りとして、リクエスト1はGETよりもPOSTを用いる方が好ましい。
またそんな馬鹿なこと言ってると高木のおっさんに怒られるぞ？

842 名前：nobodyさん 投稿日：2007/01/29(月) 20:41 ID:???
そもそも高木のおっさんはPHPの利用はやめろと言っている

843 名前：nobodyさん 投稿日：2007/01/29(月) 21:03 ID:???
>>842
> そもそも高木のおっさんはPHPの利用はやめろと言っている
ワロタ

言ってるのか高木先生。
特定のPHP書籍を指して「脆弱本」と言いきったのはあるけれど。

CSRF 対策についてはやはりこちら。
http://takagi-hiromitsu.jp/diary/20060409.html
「ワンタイムトークン方式では全ては解決しない」解説が図解入りでされていると共に対策例、あと「hiddenパラメタは漏れやすいのか？」という解説が成されています。高木先生すごいや。

844 名前：nobodyさん 投稿日：2007/01/29(月) 21:04 ID:???
>>833
Pieceフレームワークを使えばすべて解決

845 名前：nobodyさん 投稿日：2007/01/29(月) 21:07 ID:???
>>844
お前頭良いな

タイミング良過ぎワロタ。

そんな Piece ですが、近々 View 関連のアップデートが行われた Piece_Unity 0.11.0 がリリースされることでしょう。わたくしの出した原案を元に Iteman がキレイに実装しとります。