投稿フォームのCSRF対策としてトークン認証方式を併用
目 次
連絡フォーム・応募フォームのCSRF対策として、従来より目視による投稿内容全数チェックを実施していました。
(一部ページでセッション情報管理を併用)
目視チェックは、ミスなく実施されれば、安全確実な方法です。
ところが、実際にCSRF攻撃が仕掛けられる可能性が極めて低いこともあり、油断によるヒューマンエラーの可能性を排除できません。
多層防御として万全を期すため、トークンによる認証方式を追加導入しました。
※CSRF クロスサイト・リクエスト・フォージェリ
以上は、外部から当サイト内へのCSRF攻撃を防御する対策です。
当サイト内から外部サイトへのCSRFリスクには、CSP(コンテンツ・セキュリティ・ポリシー)による外部へのPOST禁止、各種のクロスサイトスクリプティング防止策など多層防御による対策を実施しています。
有効時間タイマー表示機能を追加
求人応募フォームのページには、トークン有効時間のめやすとなる タイマー表示機能 を導入しました。ページの最上部にダイヤログ形式で残り時間が表示されます。
タイマーは残り時間のめやすです。正確なトークン有効時間ではありません。
ページをリロードすると、タイマーがリセットされてしまい、実際の有効時間とずれが大きくなります。
