js-cookie CSRF XSS
CSRF とは?
CSRF とはクロスサイトリクエストフォージェリの略であり、Web アプリケーションの脆弱性を利用したサイバー攻撃の一種 → オンラインサービスを利用するユーザーがログイン状態を保持したまま悪意のある第三者の作成した URL などをクリックした場合などに、本人が意図しない形で情報・リクエストを送信されてしまうことを意味します。リクエスト強要とも呼ばれており、ユーザー側は何が起きたのか気が付くことなく、後から被害にあったことに気が付く
ログインしたままの状態を狙った攻撃
クロスサイトリクエストフォージェリの一例として、SNS にログインしたままの状態で、他のサイトで興味深い URL をクリックします。クリックされた URL には SNS に勝手に投稿する仕組みが備わっており、悪意のある第三者が用意した文章を勝手に発信されてしまいます。もし、SNS ではなくオンラインバンキングやクレジットカード情報を利用したものであると想像すれば、どれだけ恐ろしい攻撃かわかるのではないでしょうか。
リクエストを強要されてしまう
クロスサイトリクエストフォージェリの恐ろしいところは、リクエストを強要させられてしまうことであり、ログインしている状態やサービスを利用しているかどうかの有無を区別せず、広い範囲で罠を作って置き、また、複数の種類のオンラインサービスに対しての罠なので、被害に遭う可能性が高いということです。 また、罠が設置してある Web ページによっては、不安を煽るような文言や言葉巧みな文章でユーザー騙し、心理的不安にさせることで、選択肢を迫り、利用しているサービスを選ばされてしまう可能性も考えられます。
参考サイト
- CSRF(クロスサイトリクエストフォージェリ)の意味とその対策
- HTTP クッキーをより安全にする SameSite 属性について (Same-site Cookies)
- js-cookie で SameSite を指定する方法
- SameSite cookies MDN https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Set-Cookie/SameSite