/安全性について/CSRF対策について
CSRFとは、別のサイトに対する投稿を行うページを用意し、ページを表示した端末に投稿を行わさせる攻撃手法です。
認証が必要なサービスであっても、サービスにログイン中のユーザーの端末に投稿させることにより、
パスワード等の認証に必要な情報がわからなくても改竄等の変更を行うことができます。
フィッシング的な手法ですが、攻撃用ページを開いた時点で入力等の操作をせずに攻撃が成立します。
正規にログイン中のユーザー端末では当サービスの認証は成功しますが、
CSRF対策として当サービスではリファラー(参照元URL)が正規のドメイン以外の場合、認証が必要な要求を受け付けません。(一部の要求を除きます)
そのため、リファラーを送信しないブラウザや偽装しているブラウザでは当サービスを利用することはできません。
認証が必要なサービスであっても、サービスにログイン中のユーザーの端末に投稿させることにより、
パスワード等の認証に必要な情報がわからなくても改竄等の変更を行うことができます。
フィッシング的な手法ですが、攻撃用ページを開いた時点で入力等の操作をせずに攻撃が成立します。
正規にログイン中のユーザー端末では当サービスの認証は成功しますが、
CSRF対策として当サービスではリファラー(参照元URL)が正規のドメイン以外の場合、認証が必要な要求を受け付けません。(一部の要求を除きます)
そのため、リファラーを送信しないブラウザや偽装しているブラウザでは当サービスを利用することはできません。