つらつらっと。
- 「入力画面→確認画面→完了画面」 って作りだったら 「入力画面→確認画面→(CSRF対策)→完了画面」 にいれる。全部に入れればいいわけじゃない。どこに入れこむかが重要。
- 対策方法はふたつ(リファラで確認する方法もあるけど偽装簡単だしケータイだとダメなケースあるので普通はやらない)
- トークン埋め込んで本人確認
- パスワード再入力画面挟んで本人確認
- トークン埋め込み方式が一般的。パスワード再入力はより強く本人確認できるけど画面が一個増えるね。
- トークンはセッション毎に固有で推測が難しい値ならOK、PHPだったら session_id() とか。
- 完了画面遷移時は必ずPOSTで。GETだとリファラにトークン値が漏洩しちゃうかも。
- セッション管理できない環境だとどうやってトークン作ればいい?
とりあえずこんなもん?