CSRFの防ぎ方

高木浩光＠自宅の日記 - クロスサイトリクエストフォージェリ（CSRF）の正しい対策方法より。

データ変更などの重要な処理の場合、form の hidden フィールドに Cookie の セッション ID を埋め込んでおくという対策。 確かに、セッション ID は他人に知られないように作られている（はず）なので、別にワンタイムトークンを生成する必要はないんだね。

さて、Basic認証でやっている tDiary はどうするべきか。 （tDiary の場合はユーザごとに編集画面の URL が異なるので、潜在的な危険性は mixi などの集中サービス型よりも低そうだけど）

追記

フォームのパラメータとして cookie の値をやりとりするのはいやな気がするのは、Cookieが格納されるHTTPヘッダはユーザに直接見えなくて、フォームのパラメータが格納されるHTTPボディは見えるからじゃないかと推測。 どっちも同じ通信路なのにね。