第11章 高度なプログラミング / 第3回 模擬試験

PHPのクロスサイトリクエストフォージェリ(CSRF)対策に関する次の記述のうち、正しいものはどれか。

フォーム送信時にワンタイムトークン(CSRFトークン)を検証することで対策できる。 正解
CSRF対策には`htmlspecialchars()`を使うのが最も有効である。
CSRFはサーバー側では一切対策できない攻撃である。
CSRF対策として、パスワードを平文でデータベースに保存するとよい。
解説
CSRF対策の代表的な手法は、フォームに埋め込んだワンタイムトークンをサーバー側で検証することです。`htmlspecialchars()`はXSS対策の手段です。(参照: 独習PHP 第4版 第11章 高度なプログラミング 11.2.3節 クロスサイトリクエストフォージェリ p.605〜607)