2020-10-04

CSRF目的リファラー改ざんするの不可能

https://teratail.com/questions/26966

古い記事コメントに突っ込むのも野暮ですけど、

仕掛ける側が、自サイト飛ばしJavaScriptFlashリファラを書き換え送信したら、リクエスト強要ができてしまます(=攻撃者がリクエストを投げる人になる)

あくまもリファラだけのチェックでは足りない。ということが言いたいことです

Flashは死んだので考える必要無いとして、JavaScriptリファラを書き換えて任意サイト送信することはできるとか本当か?

ちょっと調べた感じだと最新ブラウザでは完全に塞がれているので、無理だと思う。

アドオンなら専用APIを使ってリクエストプロキシーみたいな処理を割り込ませて、ヘッダー書き換えて送信する機能が作れるっぽいけど、

そんなのヤバいアドオンを入れちゃった時点でCSRF無関係セキュリティヤバいのでサーバー側は想定する意味ないです。

やっぱりCSRFを実行させるためにリファラーを改ざんするの不可能な気がするので、リファラーのチェックだけでCSRF対応できる気がする。

もちろんユーザー自分リファラ送信拒否する場合はあるけど、「うちのサービス使うならリファラ出せコラ」ってエラー出しとき問題ないだろ。

CSRF対策ググるトークン使った方法ばっかり出てくるけど、別にそこまでやらなくてもいいのでは?って感じする。

CSRFを警戒するってことは変な情報をsubmitされたくないだろうし、submitを受け付けるAPIはPOSTとかで受け付けてるだろうし、

いきなり知らないURLリファラ持っている(つまり外部サイトの)POSTリクエストとかが飛んできてる時点で、全部ヤバいので拒否っとけばいいんじゃねーの?

外部からブラウザ上でユーザーの処理にちょっかい出してリファラ偽装してPOSTリクエストする処理は出来ない(ブラウザ禁止されてる)ので、CSRF攻撃は防げる。

という認識なんだけど、どうなんだろう。

  • 古い記事だから当時のブラウザではできたってことなんやろ

    • と思うじゃん、ベストアンサーへの指摘でotnさんも 改竄できるのはあくまでリクエストを投げる人であって、CSRF攻撃を仕掛ける人では無い とあるので、当時でもすでに出来ないと思...

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん