@Published(tag="architect") public final class CsrfTokenUtil extends java.lang.Object
| Modifier and Type | Method and Description |
|---|---|
static java.lang.String |
getCsrfToken(ExecutionContext context)
CSRFトークンをセッションストアから取得する。
|
static java.lang.String |
getHeaderName()
CSRFトークンをHTTPリクエストヘッダーへ設定する際に使用する名前を取得する。
|
static java.lang.String |
getParameterName()
CSRFトークンをHTTPリクエストパラメーターへ設定する際に使用する名前を取得する。
|
static void |
regenerateCsrfToken(ExecutionContext context)
CSRFトークンを再生成する。
|
public static java.lang.String getCsrfToken(ExecutionContext context)
context - 実行コンテキストnullpublic static java.lang.String getHeaderName()
public static java.lang.String getParameterName()
public static void regenerateCsrfToken(ExecutionContext context)
このメソッドはセキュリティのために用意されている。 悪意のある人がCSRFトークンとそれを保持しているセッションのセッションIDをなんらかの方法で利用者に送り込み、 利用者がこれに気づかずにログインをしたとする。 このときCSRFトークンが再生成されていないと、悪意のあるウェブサイトにCSRFトークンを仕込んだ罠ページを用意し、 利用者にリンクのクリックなどの操作をさせることで利用者の意図しない攻撃リクエストを送信させることができてしまう。 これを防ぐためにはログイン時にCSRFトークンを再生成しなくてはならない。
ログイン時にセッションを破棄して再生成する実装であればこのメソッドを利用する必要はない。 セッションの破棄と共にCSRFトークンも破棄され、その後のページ表示時に新しいCSRFトークンが生成されるためである。 ログイン時にセッションそのものの破棄ではなくセッションIDの再生成を行うにとどめる実装の場合は、 このメソッドを利用してCSRFトークンも再生成することを推奨する。
context - 実行コンテキスト