プロトコル・技術

CSRF Token

CSRF Token

定義

正規画面から送られたリクエストかを確認するために、フォームやAPIリクエストへ付与する予測困難な値。

詳細解説

CSRF Tokenは状態変更リクエストに使います。SameSite Cookieや再認証と組み合わせ、トークンの生成、検証、期限、セッションとの紐づけを確認します。

ポイント

  • 状態変更リクエストの正当性確認に使う
  • 予測困難でセッションに紐づける
  • SameSite Cookieと併用すると強くなる

関連用語

CSRFSameSite CookieSession Management

関連コンテンツ

レッスン 認証と認可の基礎

よくある質問

CSRF Tokenとは?

正規画面から送られたリクエストかを確認するために、フォームやAPIリクエストへ付与する予測困難な値。

CSRF Tokenについて詳しく知るには?

CSRF Tokenは状態変更リクエストに使います。SameSite Cookieや再認証と組み合わせ、トークンの生成、検証、期限、セッションとの紐づけを確認します。

CSRF Tokenのポイントは?

状態変更リクエストの正当性確認に使う 予測困難でセッションに紐づける SameSite Cookieと併用すると強くなる

同じカテゴリの用語(プロトコル・技術)

Access Token
Access Token

APIやリソースへアクセスするために提示する短命なトークン。漏えい時は有効期限、権限範囲、失効可否を確認する。…
AES
Advanced Encryption Standard

現在最も広く使われる対称暗号アルゴリズム。128・192・256ビットの鍵長をサポート。ECB・CBC・GCMなど複数の…
API Schema
API Schema

APIのエンドポイント、入力、出力、型、認証、エラー形式などを機械可読に表した仕様情報。…
API Token
API Token

API利用者やアプリケーションを識別し、操作権限を与えるための秘密値。漏えい時は失効と再発行が必要になる。…
App Registration
App Registration

IdPやSaaSにアプリケーションを登録し、リダイレクトURI、権限、資格情報、同意範囲を管理する設定単位。…
ARC
Authenticated Received Chain

メール転送やメーリングリストを経由した後でも、元の認証結果を一定程度検証できるようにする仕組み。…

関連するレッスン

基礎・入門レッスン

プロトコルとセキュリティの基礎を習得する

レッスン一覧を見る →

理解度チェック

Active Recall この用語をクイズで確認する まずこの用語を含む10問で復習し、間違えた用語は結果画面から用語集へ戻れます。 クイズを開始 →
← 用語集一覧に戻る
ESC
↑↓ で選択 Enter で開く ⌘K で開閉 全ページ検索を開く → Powered by Pagefind