6.7. CSRF対策¶

Caution

本バージョンの内容は既に古くなっています。最新のガイドラインはこちらからご参照ください。

Overview
How to use

6.7.1. Overview ¶

Cross site request forgeries(以下、CSRFと略す）とは、Webサイトにスクリプトや自動転送(HTTPリダイレクト)を実装することにより、

ユーザが、ログイン済みの別のWebサイト上で、意図しない何らかの操作を行わせる攻撃手法のことである。

サーバ側でCSRFを防ぐには、以下の方法が知られている。

秘密情報(トークン)の埋め込み
パスワードの再入力
Referのチェック

OWASPでは、トークンパターンを使用する方法が推奨されている。

Picture - csrf check other site

Note

OWASPとは

Open Web Application Security Projectの略称であり、信頼できるアプリケーションや、セキュリティに関する効果的なアプローチなどを検証、提唱する、国際的な非営利団体である。

https://www.owasp.org/index.php/Main_Page

CSRFを回避する方法は、前述したように複数あるが、固定トークンを使用するライブラリを、Spring Securityが提供している。

セッション毎に1つの固定トークンを用い、すべてのリクエストについて、同じ値を使用している。

デフォルトではHTTPメソッドが、GET,HEAD,TRACE,OPTIONS以外の場合、

リクエストに含まれるCSRFトークンをチェックし、値が一致しない場合は、エラー(HTTP Status:403[Forbidden])とする。

Picture - csrf check other kind

Tip

CSRFトークンチェックは、別サイトからの不正な更新リクエストをチェックし、エラーとするものである。ユーザに順序性（一連の業務フロー）を守らせ、チェックするためには、トランザクショントークンチェックについてを参照されたい。

Spring 4上でCsrfRequestDataValueProcessorを使用すると、 <form:form>タグのmethod属性に指定した値がCSRFトークンチェック対象のHTTPメソッド(Spring Securityのデフォルト実装ではGET,HEAD,TRACE,OPTIONS以外のHTTPメソッド)と一致する場合に限り、 CSRFトークンが埋め込まれた<input type="hidden">タグが出力される。

例えば、以下の例のように method属性にGETメソッドを指定した場合は、 CSRFトークンが埋め込まれた<input type="hidden">タグは出力されない。

<form:form method="GET" modelAttribute="xxxForm" action="...">
    <%-- ... --%>
</form:form>

これは、OWASP Top 10で説明されている、

The unique token can also be included in the URL itself, or a URL parameter. However, such placement runs a greater risk that the URL will be exposed to an attacker, thus compromising the secret token.

に対応している事を意味しており、セキュアなWebアプリケーション構築の手助けとなる。

6.7.2.2.2. CSRFトークンを明示的に埋め込む方法 ¶

<form:form>タグを使用しない場合は、明示的に、<sec:csrfInput/>タグを追加する必要がある。

<sec:csrfInput/>タグを使用すると、CSRFトークンが埋め込まれた<input type="hidden">タグが出力される。

<form method="POST"
  action="${pageContext.request.contextPath}/csrfTokenCheckExample">
    <input type="submit" name="second" value="second" />
    <sec:csrfInput/>  <!-- (1) -->
</form>

以下のようなHTMLが、出力される。

<form action="/terasoluna/csrfTokenCheckExample" method="POST">
  <input type="submit" name="second" value="second" />
  <input type="hidden" name="_csrf" value="dea86ae8-58ea-4310-bde1-59805352dec7"/>  <!-- (2) -->
</form>

項番	説明
(1)	CSRFトークンが埋め込まれた`<input type="hidden">`タグを出力するために、`<sec:csrfInput/>`タグを指定する。
(2)	Spring Securityのデフォルト実装では、`name`属性に`_csrf`が設定されている `<input type="hidden">`タグが追加され、CSRFトークンが埋め込まれる。

Note

CSRFトークンチェック対象のリクエスト(デフォルトでは、HTTPメソッドが、GET, HEAD, TRACE, OPTIONS以外の場合)で、CSRFトークンがない、またはサーバー上に保存されているトークン値と、送信されたトークン値が異なる場合は、AccessDeniedHandlerによりアクセス拒否処理が行われ、HttpStatusの403が返却される。 spring-security.xmlの設定を記述している場合は、指定したエラーページに遷移する。

6.7.2.3. AjaxによるCSRFトークンの送信 ¶

<sec:csrf />の設定で有効になる CsrfFilterは、前述のようにリクエストパラメータからCSRFトークンを取得するだけでなく、
HTTPリクエストヘッダーからもCSRFトークンを取得する。
Ajaxを利用する場合はHTTPヘッダーに、CSRFトークンを設定することを推奨する。JSON形式でリクエストを送る場合にも対応できるためである。

Note

HTTPヘッダ、リクエストパラメータの両方からCSRFトークンが送信する場合は、HTTPヘッダの値が優先される。

Ajaxで使用した例を用いて、説明を行う。追加で設定が必要な箇所を、ハイライトしている。

jspの実装例

 <!-- omitted -->
 <head>
   <sec:csrfMetaTags />  <!-- (1) -->
   <!-- omitted -->
 </head>
 <!-- omitted -->

 <script type="text/javascript">
 var contextPath = "${pageContext.request.contextPath}";
 var token = $("meta[name='_csrf']").attr("content");  <!-- (2) -->
 var header = $("meta[name='_csrf_header']").attr("content");  <!-- (3) -->
 $(document).ajaxSend(function(e, xhr, options) {
     xhr.setRequestHeader(header, token);  <!-- (4) -->
 });

 $(function() {
     $('#calcButton').on('click', function() {
         var $form = $('#calcForm'),
              $result = $('#result');
         $.ajax({
             url : contextPath + '/sample/calc',
             type : 'POST',
             data: $form.serialize(),
         }).done(function(data) {
             $result.html('add: ' + data.addResult + '<br>'
                          + 'subtract: ' + data.subtractResult + '<br>'
                          + 'multipy: ' + data.multipyResult + '<br>'
                          + 'divide: ' + data.divideResult + '<br>'); // (5)
         }).fail(function(data) {
             // error handling
             alert(data.statusText);
         });
     });
 });
 </script>

項番	説明
(1)	`<sec:csrfMetaTags />`タグを設定することにより、デフォルトでは、以下の`meta`タグが出力される。 `<meta name="_csrf_parameter" content="_csrf" />` `<meta name="_csrf_header" content="X-CSRF-TOKEN" />` `<meta name="_csrf" content="dea86ae8-58ea-4310-bde1-59805352dec7" />`(`content`属性の値はランダムなUUIDが設定される)
(2)	`<meta name="_csrf">`タグに設定されたCSRFトークンを取得する。
(3)	`<meta name="_csrf_header">`タグに設定されたCSRFヘッダ名を取得する。
(4)	リクエストヘッダーに、`<meta>`タグから取得したヘッダ名(デフォルト:X-CSRF-TOKEN)、CSRFトークンの値を設定する。
(5)	この書き方はXSSの可能性があるので、実際にJavaScriptコードを書くときは気を付けること。今回の例では`data.addResult`、`data.subtractResult`、`data.multipyResult`、`data.divideResult`の全てが数値型であるため、問題ない。

JSONでリクエストを送信する場合も、同様にHTTPヘッダを設定すればよい。

Todo

Ajax対応する例がなくなっているため、例を直す。

6.7.2.4. マルチパートリクエスト(ファイルアップロード)時の留意点 ¶

一般的に、ファイルアップロードなどマルチパートリクエストを送る場合、formから送信される値をFilterでは取得できない。

そのため、これまでの説明だけでは、マルチパートリクエスト時にCsrfFileterがCSRFトークンを取得できず、不正なリクエストと見なされてしまう。

そのため、以下のどちらかの方法によって、対策する必要がある。

org.springframework.web.multipart.support.MultipartFilterを使用する
クエリのパラメータでCSRFトークンを送信する

Note

それぞれメリット・デメリットが存在するため、システム要件を考慮して、採用する対策方法を決めて頂きたい。

ファイルアップロードの詳細については、FileUploadを参照されたい。

6.7.2.4.1. MultipartFilterを使用する方法 ¶

通常、マルチパートリクエストの場合、formから送信された値はFilter内で取得できない。
org.springframework.web.multipart.support.MultipartFilterを使用することで、マルチパートリクエストでも、Filter内で、
formから送信された値を取得することができる。

Warning

MultipartFilterを使用した場合、springSecurityFilterChainによる認証・認可処理が行われる前にアップロード処理が行われるため、認証又は認可されていないユーザーからのアップロード(一時ファイル作成)を許容してしまう。

MultipartFilterを使用するには、以下のように設定すればよい。

web.xmlの設定例

<filter>
    <filter-name>MultipartFilter</filter-name>
    <filter-class>org.springframework.web.multipart.support.MultipartFilter</filter-class> <!-- (1) -->
</filter>
<filter>
    <filter-name>springSecurityFilterChain</filter-name> <!-- (2) -->
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>MultipartFilter</filter-name>
    <servlet-name>/*</servlet-name>
</filter-mapping>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

項番	説明
(1)	`org.springframework.web.multipart.support.MultipartFilter`を定義する。
(2)	`springSecurityFilterChain`より前に、`MultipartFilter`を定義すること。

JSPの実装例

<form:form action="${pageContext.request.contextPath}/fileupload"
    method="post" modelAttribute="fileUploadForm" enctype="multipart/form-data">  <!-- (1) -->
    <table>
        <tr>
            <td width="65%"><form:input type="file" path="uploadFile" /></td>
        </tr>
        <tr>
            <td><input type="submit" value="Upload" /></td>
        </tr>
    </table>
</form:form>

項番	説明
(1)	spring-mvc.xmlの設定の通り、`CsrfRequestDataValueProcessor`が定義されている場合、 `<form:form>`タグを使うことで、CSRFトークンが埋め込まれた`<input type="hidden">`タグが自動的に追加されるため、 JSPの実装で、CSRFトークンを意識する必要はない。 <form> タグを使用する場合 CSRFトークンを明示的に埋め込む方法でCSRFトークンを設定すること。

6.7.2.4.2. クエリパラメータでCSRFトークンを送る方法 ¶

認証又は認可されていないユーザーからのアップロード(一時ファイル作成)を防ぎたい場合は、 MultipartFilterは使用せず、クエリパラメータでCSRFトークンを送る必要がある。

Warning

この方法でCSRFトークンを送った場合、

ブラウザのアドレスバーにCSRFトークンが表示される
ブックマークした場合、ブックマークにCSRFトークンが記録される
WebサーバのアクセスログにCSRFトークンが記録される

ため、MultipartFilterを使用する方法と比べると、攻撃者にCSRFトークンを悪用されるリスクが高くなる。

Spring Securityのデフォルト実装では、CSRFトークンの値としてランダムなUUIDを生成しているため、仮にCSRFトークンが漏洩してもセッションハイジャックされる事はないという点を補足しておく。

以下に、CSRFトークンをクエリパラメータとして送る実装例を示す。

JSPの実装例

<form:form action="${pageContext.request.contextPath}/fileupload?${f:h(_csrf.parameterName)}=${f:h(_csrf.token)}"
    method="post" modelAttribute="fileUploadForm" enctype="multipart/form-data"> <!-- (1) -->
    <table>
        <tr>
            <td width="65%"><form:input type="file" path="uploadFile" /></td>
        </tr>
        <tr>
            <td><input type="submit" value="Upload" /></td>
        </tr>
    </table>
</form:form>

項番	説明
(1)	`<form:form>`タグのaction属性に、以下のクエリを付与する必要がある。 `?${f:h(_csrf.parameterName)}=${f:h(_csrf.token)}` `<form>`タグを使用する場合も、同様の設定が必要である。

項番	説明
(1)	`<sec:http>`要素に`<sec:csrf>`要素を定義することで、Spring Security のCSRFトークンチェック機能を利用できるようになる。デフォルトでチェックされるHTTPメソッドについては、こちらを参照されたい。詳細については、Spring Securityのレファレンスドキュメントを参照されたい。
(2)	`AccessDeniedException`を継承したExceptionが発生した場合、Exceptionの種類毎に表示するviewを切り替えるためにHandlerを定義する。全て同じ画面で良い場合は `error-page` 属性に遷移先のjspを指定することで可能となる。 Spring Securityの機能でハンドリングしない場合は、こちらを参照されたい。
(3)	エラーページを切り替えるためにSpring Securityで用意されているHandlerのclassに `org.springframework.security.web.access.DelegatingAccessDeniedHandler`を指定する。
(4)	コンストラクタの第1引数でデフォルト以外のException（`AccessDeniedException`を継承したException）の種類毎に表示を変更する画面をMap形式で設定する。
(5)	keyに `AccessDeniedException`を継承したException を指定する。実装クラスとして、Spring Securityで用意されている `org.springframework.security.web.access.AccessDeniedHandlerImpl` を指定する。 propertyのnameにerrorPageを指定し、valueに表示するviewを指定する。
(6)	(5)とExceptionの種類が違う場合に表示の変更を定義する。
(7)	コンストラクタの第2引数でデフォルト（`AccessDeniedException`とコンストラクタの第1引数で指定していない`AccessDeniedException`を継承したException）の場合のviewを指定する。
(8)	実装クラスとして、Spring Securityで用意されている `org.springframework.security.web.access.AccessDeniedHandlerImpl` を指定する。 propertyのnameにerrorPageを指定し、valueに表示するviewを指定する。

Exception	発生理由
org.springframework.security.web.csrf. InvalidCsrfTokenException	クライアントからリクエストしたCSRFトークンとサーバで保持しているCSRFトークンが一致しない場合に発生する。
org.springframework.security.web.csrf. MissingCsrfTokenException	CSRFトークンがサーバに存在しない場合に発生する。デフォルトの設定ではCSRFトークンをHTTPセッションに保持するため、CSRFトークンが存在しないということはHTTPセッションが破棄された(セッションタイムアウトが発生した)ことを意味する。 `<sec:csrf>`要素の `token-repository-ref`属性でCSRFトークンの保存先をキャッシュサーバやDBなどに変更した場合は、CSRFトークンを保存先から削除した場合に`MissingCsrfTokenException`が発生する。これは、トークンの保存先をHTTPセッションにしていない場合は、本機能を使ってセッションタイムアウトの検知が出来ない事を意味している。

Table Of Contents

Previous topic

Next topic

This Page

6.7. CSRF対策¶

6.7.1. Overview ¶

6.7.2. How to use ¶

6.7.2.1. Spring Securityの設定 ¶

6.7.2.1.1. spring-security.xmlの設定 ¶

6.7.2.1.2. spring-mvc.xmlの設定 ¶

6.7.2.2. フォームによるCSRFトークンの送信 ¶

6.7.2.2.1. CSRFトークンを自動で埋め込む方法 ¶

6.7.2.2.2. CSRFトークンを明示的に埋め込む方法 ¶

6.7.2.3. AjaxによるCSRFトークンの送信 ¶

6.7.2.4. マルチパートリクエスト(ファイルアップロード)時の留意点 ¶

6.7.2.4.1. MultipartFilterを使用する方法 ¶

6.7.2.4.2. クエリパラメータでCSRFトークンを送る方法 ¶

項番	説明
(1)	error-code要素に、ステータスコード403を設定する。
(2)	location要素に、遷移先のパスを設定する。

項番	説明
(1)	`org.terasoluna.gfw.web.mvc.support.RequestDataValueProcessor`を複数定義可能な `org.terasoluna.gfw.web.mvc.support.CompositeRequestDataValueProcessor`をbean定義する。
(2)	コンストラクタの第1引数に、`org.springframework.security.web.servlet.support.csrf.CsrfRequestDataValueProcessor`のbean定義を設定する。