CodeIgniter ワンタイムチケット
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
[[CodeIgniter]]
#contents
* CSRFとは? [#j76f48f3]
[[クロスサイトリクエストフォージェリ - Wikipedia>http://j...
>クロスサイトリクエストフォージェリ(Cross site request fo...
具体例として、掲示板に意図しない書き込みをさせられたり、...
>''原理''
攻撃の大まかな流れは以下の通り。
1. 攻撃者が、攻撃用の Web ページを作成して WWW 上に公開す...
(WWW上ででなくとも、未対策のHTMLメーラーにウェブページを...
2. 第三者が、攻撃用の Web ページにアクセスする。
3. 第三者は、攻撃者が用意した任意の HTTP リクエストを送信...
4. 送信させられた HTTP リクエストによって、攻撃者の意図し...
(ここで「第三者」とは、被攻撃サイトに意図せずアクセスさ...
>''対策''
Webサイト管理者側
第三者が知り得ない情報をフォームに入力させる(あるいはフ...
''認証情報を入力させる''
認証制の Web システムの場合、入力フォームにユーザIDとパ...
''ワンタイムトークンを利用する''
入力フォームに、第三者に推測されにくい文字列を hidden ...
- CSRF(クロス・サイト・リクエスト・フォージェリー)とは...
- CSRF対策として、「ワンタイムトークン」(一時的な識別符...
- 「ワンタイムトークン」は、別名「ワンタイムチケット」と...
** ワンタイムチケットの有用性 [#t7c06b4d]
ワンタイムチケット方式は、必ずしも万全というわけではない...
[[高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」...
>画面遷移を完全に制御するのは自然な実装であるが、その実装...
理想的な対策の一つとして、サーバーサイドで「ページ遷移」...
数あるPHPフレームワークの中だと、「[[Piece Framework>http...
とりあえず、何もCSRF対策をしないよりはマシなので、ここで...
* 参考リンク [#xe99e32e]
- CodeIgniterの学習 23 - ワンタイムチケット(ワンタイムト...
http://d.hatena.ne.jp/dix3/20081017/1224196292
- CodeIgniter 2.0に追加されたCSRF保護オプションの挙動 - e...
http://www.e2esound.com/wp/2011/02/14/csrf_options_in_cod...
>''これまでのCSRF対策''
CodeIgniter1.7系までは、以下のようにワンタイムチケットを...
1. controllerでワンタイムチケットを生成
2. sessionクラスを使って、ワンタイムチケットをsessionに...
3. viewの中でformのhiddenフィールドにワンタイムチケット...
4. ユーザーによるform処理
5. $_POSTで送られてきたワンタイムチケットとsessionに保...
6. TRUEであれば処理継続、FALSEであれば処理中止
この方法だと、controllerの中で、照合を書かなければいけま...
''2.0で追加されたCSRF保護の使い方''
とても簡単です。まずapplication/config/config.phpの設定を...
$config['csrf_protection'] = TRUE;
次に、全てのformタグをformヘルパーのform_open()で出力する...
すると、form_open()で出力したすぐ下にhiddenフィールドが作...
* ワンタイムチケットの導入 [#nb11cd96]
CodeIgniter2.0以降のバージョンでは、自動的にワンタイムチ...
- CodeIgniter ユーザガイド 日本語版 Version 2.0.1 › セキ...
http://codeigniter.jp/user_guide_ja/libraries/security.html
>セキュリティクラスは,入力データの処理によりセキュアなア...
''クロスサイトリクエストフォージェリ (CSRF)''
CSRF 保護を有効にするには,&color(red){application/config...
&color(red){$config['csrf_protection'] = TRUE;};
フォームヘルパ の form_open() 関数を使用すると,フォーム...
+ CodeIgniterの設定ファイルで、「csrf_protection」をTRUE...
application/config/config.php
#code(php){{
$config['csrf_protection'] = TRUE;
}}
+ そして、[[Formヘルパー>CodeIgniter Form]]のform_open()...
たったこれだけで、formタグの直下にワンタイムチケットのコ...
ワォ~、超簡単ですね!(・∀・)
終了行:
[[CodeIgniter]]
#contents
* CSRFとは? [#j76f48f3]
[[クロスサイトリクエストフォージェリ - Wikipedia>http://j...
>クロスサイトリクエストフォージェリ(Cross site request fo...
具体例として、掲示板に意図しない書き込みをさせられたり、...
>''原理''
攻撃の大まかな流れは以下の通り。
1. 攻撃者が、攻撃用の Web ページを作成して WWW 上に公開す...
(WWW上ででなくとも、未対策のHTMLメーラーにウェブページを...
2. 第三者が、攻撃用の Web ページにアクセスする。
3. 第三者は、攻撃者が用意した任意の HTTP リクエストを送信...
4. 送信させられた HTTP リクエストによって、攻撃者の意図し...
(ここで「第三者」とは、被攻撃サイトに意図せずアクセスさ...
>''対策''
Webサイト管理者側
第三者が知り得ない情報をフォームに入力させる(あるいはフ...
''認証情報を入力させる''
認証制の Web システムの場合、入力フォームにユーザIDとパ...
''ワンタイムトークンを利用する''
入力フォームに、第三者に推測されにくい文字列を hidden ...
- CSRF(クロス・サイト・リクエスト・フォージェリー)とは...
- CSRF対策として、「ワンタイムトークン」(一時的な識別符...
- 「ワンタイムトークン」は、別名「ワンタイムチケット」と...
** ワンタイムチケットの有用性 [#t7c06b4d]
ワンタイムチケット方式は、必ずしも万全というわけではない...
[[高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」...
>画面遷移を完全に制御するのは自然な実装であるが、その実装...
理想的な対策の一つとして、サーバーサイドで「ページ遷移」...
数あるPHPフレームワークの中だと、「[[Piece Framework>http...
とりあえず、何もCSRF対策をしないよりはマシなので、ここで...
* 参考リンク [#xe99e32e]
- CodeIgniterの学習 23 - ワンタイムチケット(ワンタイムト...
http://d.hatena.ne.jp/dix3/20081017/1224196292
- CodeIgniter 2.0に追加されたCSRF保護オプションの挙動 - e...
http://www.e2esound.com/wp/2011/02/14/csrf_options_in_cod...
>''これまでのCSRF対策''
CodeIgniter1.7系までは、以下のようにワンタイムチケットを...
1. controllerでワンタイムチケットを生成
2. sessionクラスを使って、ワンタイムチケットをsessionに...
3. viewの中でformのhiddenフィールドにワンタイムチケット...
4. ユーザーによるform処理
5. $_POSTで送られてきたワンタイムチケットとsessionに保...
6. TRUEであれば処理継続、FALSEであれば処理中止
この方法だと、controllerの中で、照合を書かなければいけま...
''2.0で追加されたCSRF保護の使い方''
とても簡単です。まずapplication/config/config.phpの設定を...
$config['csrf_protection'] = TRUE;
次に、全てのformタグをformヘルパーのform_open()で出力する...
すると、form_open()で出力したすぐ下にhiddenフィールドが作...
* ワンタイムチケットの導入 [#nb11cd96]
CodeIgniter2.0以降のバージョンでは、自動的にワンタイムチ...
- CodeIgniter ユーザガイド 日本語版 Version 2.0.1 › セキ...
http://codeigniter.jp/user_guide_ja/libraries/security.html
>セキュリティクラスは,入力データの処理によりセキュアなア...
''クロスサイトリクエストフォージェリ (CSRF)''
CSRF 保護を有効にするには,&color(red){application/config...
&color(red){$config['csrf_protection'] = TRUE;};
フォームヘルパ の form_open() 関数を使用すると,フォーム...
+ CodeIgniterの設定ファイルで、「csrf_protection」をTRUE...
application/config/config.php
#code(php){{
$config['csrf_protection'] = TRUE;
}}
+ そして、[[Formヘルパー>CodeIgniter Form]]のform_open()...
たったこれだけで、formタグの直下にワンタイムチケットのコ...
ワォ~、超簡単ですね!(・∀・)
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
