# 2020/7/2 upper layer progress ## 徳丸本 ### 進捗 p187~p217の途中 ### 内容 ・CSRF攻撃への対策が必要なページに対して第三者が知り得ない秘密情報を要求すれば、不正なリクエストに対してアプリケーション側で判断できる。この秘密情報をトークン(token)と呼ぶ。 ・CSRF脆弱性の対策としてRefererのチェックがあり、他の対策と比べプログラミングが少なく、重要な処理の実行ページのみですむが見落としが多い ・クリックジャッキングはバグなどではなく、HTMLの仕様を巧妙に悪用した攻撃。