- 攻撃者が不正リンクを作成
- 管理者自身が不正リンクを踏む
- 意図しないデータ改変
- ワンタイムチケット発行
CSRF (cross site request forgery) は、攻撃者が不正リンクを仕掛ける。管理者がログインした状態でそのリンクを踏むと、データを改変したり、削除したりしてしまう。正規ユーザーによるリクエストであるが、ユーザーの意図する行為ではない。
対策としては、リファラーチェック、ワンタイムチケット、CAPTCHA 等がある。
WordPress に用意されているワンタイムチケットの利用法を紹介する。