クロスサイト・リクエスト・フォージェリー (CSRF) アタックの防止

クロスサイト・リクエスト・フォージェリー (CSRF) は、悪意ある Web サイト攻撃の一種です。 CSRF アタックは、ワンクリック攻撃 やセッション・ライディング とも呼ばれます。 このタイプの攻撃は、Web サイトが信頼しているが、ユーザーから許可されていない要求を送信します。

CSRF は、サイトが認証ユーザーのブラウザーに対して持っている信頼を、悪意のある攻撃に利用します。 CSRF はリンクまたはスクリプトを使用して、ユーザーが認証されているターゲット・サイトに、不本意の HTTP 要求を送信します。 予防措置を取らない限り、/pkmslogout などの WebSEAL 管理ページは CSRF アタックからの影響を受けます。 例えば、アタッカーは、認証済み WebSEAL ユーザーのブラウザーが /pkmslogout へのリンクをたどるよう仕向けて、ユーザーを不随意にログアウトさせる可能性があります。

このタイプのぜい弱性を軽減するよう、WebSEAL を構成することができます。