imSecureToken

SecureTokenの最低限の実装

ワンタイムトークンの利用

AjaxでSecureTokenを使う（バージョン 8.0.8 以降）

AjaxでSecureTokenを使う（バージョン 8.0.7 以前）

SecureToken設定ファイルなしで、AjaxでSecureTokenを使う

‹ ›

コンポーネント情報
モジュール	im_tenant
導入されたバージョン	8.0.0
バージョン	8.0.10

機能説明

CSRF対策用のSecureTokenを出力するタグです。
formタグ用にhiddenタグを生成します。

SecureTokenとは？

データを登録するためのURLや、ログイン処理を実行するためのURLに直接アクセスし、不正な処理の要求を防ぐための技術です。
SecureTokenでは、正規の手順を辿っているアクセスに対して実行を許可し、そうではない不正なアクセスをブロックします。

リクエストが正規の手順で実行されているかどうかの判定は、対象のページより前にアクセスする画面でアクセスしたことを示すトークンを発行することで判定します。

サーバは正規のアクセスに対しトークンを発行し、クライアントに送信します。トークンはセッションに保存しておきます。
クライアントは、サーバから受け取ったトークンをリクエストパラメータに入れて次の画面にアクセスする要求をします。
サーバはセッションに保存したトークンと、リクエストで送信されたトークンを比較します。トークンが一致すれば、正規なアクセスなのでアクセスを許可します。
トークンが一致しない、または、トークン自体を送信してこないアクセスは、正規手順ではないアクセスなのでアクセスを許可しません。

トークンを発行する画面を経由しないアクセスは、不正なアクセスと見なして遮断することができます。
具体的には、以下のようなリクエストを遮断することができます。

ログイン画面を表示していないのに、ログイン処理URLにアクセスされた場合。
登録情報入力画面を表示していないのに、登録処理URLにアクセスされた場合。

AjaxでSecureTokenを使いたいときは？

Ajaxでアクセスする先に送信するためのトークンを取得したい場合、mode属性を指定してトークンを生成します。
ただし、mode属性を使用できるのはバージョン 8.0.8 以降です。
バージョン 8.0.8 より前の場合、このタグは使用せずに SecureTokenManager を使用します。
APIの使用方法は、APIドキュメントを参照してください。

SecureToken対象ページの設定方法は？

設定ファイルに対象URLを記述する方法と、対象ページの先頭にベリファイ処理を実装する方法があります。
設定ファイルについては、設定ファイルリファレンスの「セキュア・トークンフィルタ設定」を参照してください。
http://www.intra-mart.jp/document/library/iap/public/configuration/im_configuration_reference/texts/im_tenant/token-filtering-target-config/index.html

原則、設定ファイルにURLを記述することをおすすめします。
「対象ページの先頭にベリファイ処理を実装する方法」は、対象URLが動的であるなどの理由で設定ファイルに記述できない場合でも利用可能です。

注意事項

セッションタイムアウトなどでセッションが破棄されると、トークンが無効化されます。

属性一覧

注釈	属性名	型	説明	省略時の動作	実行時評価
	`mode`	java.lang.String	バージョン 8.0.8 以降で利用可能です。 mode属性に指定した値により、タグが出力する内容が異なります。 “tag”,“name”,“value” のいずれかを指定します。 “tag” : セキュア・トークンを出力したhiddenタグを出力します。 “name” : セキュア・トークンのリクエストパラメータ名を出力します。（SecureTokenManager.REQUEST_PARAMETER_NAMEの値） “value” : セキュア・トークンそのものを出力します。	tag	-
Boolean属性	`useOneTimeToken`	java.lang.String/boolean	このトークンを1回使用した時点で無効化するかを指定します。	false	-
	`その他`	java.lang.String	トークンを生成するシードに含めるキーと値を指定します。トークンのベリファイ時、リクエストパラメータに同じキーと値が含まれている必要があります。	-	-

サンプル

SecureTokenの最低限の実装

リクエスト元とリクエスト先のhtmlとjsを実装します。

この例では、sample/csrf1.jspとsample/csrf2.jspを作成します。
jsファイルは、空のファイルを作成します。

リクエスト元のjspにはJSPサンプルのようにSecureTokenタグを配置します。

ルーティングとSecureTokenの設定ファイルを記述します。

“/sample/csrf1.jsp”にアクセスし、サブミットボタンをクリックすると“/sample/csrf2.jsp”に画面遷移します。

ブラウザのアドレスバーには以下のようなアドレスが表示されています。

～/sample/csrf2.jsp?im_secure_token=172879d058f5f4b1d0ff715fbc615e749ccead40bbc87d719f0b6d4196cd62be

この状態で、アドレスバーでエンターキーを押しても“sample/csrf2.jsp”の画面が表示されます。

次に、“?im_secure_token=～”の部分を削除してエンターキーを押してみます。

403エラー画面が表示されれば、SecureTokenの最低限の実装が完了です。

JSP (sample/csrf1.jsp)

<%@ taglib prefix="imst" uri="http://www.intra-mart.co.jp/taglib/imst" %>
<form action="sample/csrf2.jsp" method="GET">
  <imst:imSecureToken />
  <input type="submit" value="send" />
</form>

<%@ taglib prefix="imst" uri="http://www.intra-mart.co.jp/taglib/imst" %>
<form action="sample/csrf2.jsp" method="GET">
  <imst:imSecureToken />
  <input type="submit" value="send" />
</form>

JSP (sample/csrf2.jsp)

Success!

Success!

セキュア・トークンフィルタ設定ファイル (conf/token-filtering-target-config/im_csrf_sample.xml)

<?xml version="1.0" encoding="UTF-8"?>
<token-filtering-target-config xmlns="http://www.intra-mart.jp/secure-token/target-url-config" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.intra-mart.jp/secure-token/target-url-config ../../schema/token-filtering-target-config.xsd ">
  <entry url="/sample/csrf2.jsp" />
</token-filtering-target-config>

<?xml version="1.0" encoding="UTF-8"?>
<token-filtering-target-config xmlns="http://www.intra-mart.jp/secure-token/target-url-config" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.intra-mart.jp/secure-token/target-url-config ../../schema/token-filtering-target-config.xsd ">
  <entry url="/sample/csrf2.jsp" />
</token-filtering-target-config>

ワンタイムトークンの利用

最低限の実装例に、ワンタイムトークンを使うように指定します。

“/sample/csrf1.jsp”にアクセスし、サブミットボタンをクリックすると“/sample/csrf2.jsp”に画面遷移します。

ブラウザのアドレスバーには以下のようなアドレスが表示されています。

～/sample/csrf2.jsp?im_secure_token=172879d058f5f4b1d0ff715fbc615e749ccead40bbc87d719f0b6d4196cd62be

この状態で、アドレスバーでエンターキーを押すと、403エラー画面が表示されます。

既に使用したトークンなので、再度“/sample/csrf1.jsp”にアクセスしてトークンを発行するまでは“/sample/csrf2.jsp”の画面にはアクセスできなくなります。

JSP (sample/csrf1.jsp)

<%@ taglib prefix="imst" uri="http://www.intra-mart.co.jp/taglib/imst" %>
<form action="sample/csrf2.jsp" method="GET">
  <imst:imSecureToken useOneTimeToken="true" />
  <input type="submit" value="send" />
</form>

<%@ taglib prefix="imst" uri="http://www.intra-mart.co.jp/taglib/imst" %>
<form action="sample/csrf2.jsp" method="GET">
  <imst:imSecureToken useOneTimeToken="true" />
  <input type="submit" value="send" />
</form>

AjaxでSecureTokenを使う（バージョン 8.0.8 以降）

AjaxでSecureTokenを使用する例です。

リクエスト元のページでタグにmode属性を指定してトークンを作成します。
作成したトークンは、Ajaxのパラメータに含めます。

JSP (sample/csrf3.jsp)

<%@ taglib prefix="imst" uri="http://www.intra-mart.co.jp/taglib/imst" %>
<script type="text/javascript">
(function ($) {
  $(function () {
    $('#send').click(function () {
      $.ajax({
        'url': 'sample/csrf4',
        'data': {
          '<imst:imSecureToken mode="name" />': '<imst:imSecureToken mode="value" />',
          'no-theme': 'true'
        },
        'success': function (data) {
          $('<div></div>').appendTo(document.body).append(data).dialog();
        }
      });
    });
  });
})(jQuery);
</script>

<input type="button" id="send" value="send" />

<%@ taglib prefix="imst" uri="http://www.intra-mart.co.jp/taglib/imst" %>
<script type="text/javascript">
(function ($) {
  $(function () {
    $('#send').click(function () {
      $.ajax({
        'url': 'sample/csrf4',
        'data': {
          '<imst:imSecureToken mode="name" />': '<imst:imSecureToken mode="value" />',
          'no-theme': 'true'
        },
        'success': function (data) {
          $('<div></div>').appendTo(document.body).append(data).dialog();
        }
      });
    });
  });
})(jQuery);
</script>

<input type="button" id="send" value="send" />

JSP (sample/csrf4.jsp)

Success!

Success!

セキュア・トークンフィルタ設定ファイル (conf/token-filtering-target-config/im_csrf_sample.xml)

<?xml version="1.0" encoding="UTF-8"?>
<token-filtering-target-config xmlns="http://www.intra-mart.jp/secure-token/target-url-config" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.intra-mart.jp/secure-token/target-url-config ../../schema/token-filtering-target-config.xsd ">
  <entry url="/sample/csrf4.jsp" />
</token-filtering-target-config>

<?xml version="1.0" encoding="UTF-8"?>
<token-filtering-target-config xmlns="http://www.intra-mart.jp/secure-token/target-url-config" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.intra-mart.jp/secure-token/target-url-config ../../schema/token-filtering-target-config.xsd ">
  <entry url="/sample/csrf4.jsp" />
</token-filtering-target-config>

AjaxでSecureTokenを使う（バージョン 8.0.7 以前）

AjaxでSecureTokenを使用する例です。

リクエスト元のページでAPIを使用してトークンを作成します。
作成したトークンは、Ajaxのパラメータに含めます。

JSP (sample/csrf5.jsp)

<%@ page import="jp.co.intra_mart.foundation.secure_token.SecureTokenManager" %>
<%
    String name = SecureTokenManager.REQUEST_PARAMETER_NAME;
    String value = new SecureTokenManager(request).createToken(false).getString();
%>
<script type="text/javascript">
(function ($) {
  $(function () {
    $('#send').click(function () {
      $.ajax({
        'url': 'sample/csrf6.jsp',
        'data': {
          '<%=name %>': '<%=value %>',
          'no-theme': 'true'
        },
        'success': function (data) {
          $('<div></div>').appendTo(document.body).append(data).dialog();
        }
      });
    });
  });
})(jQuery);
</script>
     
<input type="button" id="send" value="send" />

<%@ page import="jp.co.intra_mart.foundation.secure_token.SecureTokenManager" %>
<%
    String name = SecureTokenManager.REQUEST_PARAMETER_NAME;
    String value = new SecureTokenManager(request).createToken(false).getString();
%>
<script type="text/javascript">
(function ($) {
  $(function () {
    $('#send').click(function () {
      $.ajax({
        'url': 'sample/csrf6.jsp',
        'data': {
          '<%=name %>': '<%=value %>',
          'no-theme': 'true'
        },
        'success': function (data) {
          $('<div></div>').appendTo(document.body).append(data).dialog();
        }
      });
    });
  });
})(jQuery);
</script>
     
<input type="button" id="send" value="send" />

JSP (sample/csrf6.jsp)

Success!

Success!

セキュア・トークンフィルタ設定ファイル (conf/token-filtering-target-config/im_csrf_sample.xml)

<?xml version="1.0" encoding="UTF-8"?>
<token-filtering-target-config xmlns="http://www.intra-mart.jp/secure-token/target-url-config" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.intra-mart.jp/secure-token/target-url-config ../../schema/token-filtering-target-config.xsd ">
  <entry url="/sample/csrf6.jsp" />
</token-filtering-target-config>

<?xml version="1.0" encoding="UTF-8"?>
<token-filtering-target-config xmlns="http://www.intra-mart.jp/secure-token/target-url-config" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.intra-mart.jp/secure-token/target-url-config ../../schema/token-filtering-target-config.xsd ">
  <entry url="/sample/csrf6.jsp" />
</token-filtering-target-config>

SecureToken設定ファイルなしで、AjaxでSecureTokenを使う

SecureTokenの設定ファイルを書かずに、AjaxでSecureTokenを使用する例です。

リクエスト元のページでAPIを使用しトークンを作成します。
作成したトークンは、Ajaxのパラメータに含めます。

Ajaxでリクエストされるページでは、APIを使用してベリファイ処理を実装します。

JSP (sample/csrf7.jsp)

<%@ page import="jp.co.intra_mart.foundation.secure_token.SecureTokenManager" %>
<%
    String name = SecureTokenManager.REQUEST_PARAMETER_NAME;
    String value = new SecureTokenManager(request).createToken(false).getString();
%>
<script type="text/javascript">
(function ($) {
  $(function () {
    $('#send').click(function () {
      $.ajax({
        'url': 'sample/csrf8.jsp',
        'data': {
          '<%=name %>': '<%=value %>',
          'no-theme': 'true'
        },
        'success': function (data) {
          $('<div></div>').appendTo(document.body).append(data).dialog();
        }
      });
    });
  });
})(jQuery);
</script>
     
<input type="button" id="send" value="send" />

<%@ page import="jp.co.intra_mart.foundation.secure_token.SecureTokenManager" %>
<%
    String name = SecureTokenManager.REQUEST_PARAMETER_NAME;
    String value = new SecureTokenManager(request).createToken(false).getString();
%>
<script type="text/javascript">
(function ($) {
  $(function () {
    $('#send').click(function () {
      $.ajax({
        'url': 'sample/csrf8.jsp',
        'data': {
          '<%=name %>': '<%=value %>',
          'no-theme': 'true'
        },
        'success': function (data) {
          $('<div></div>').appendTo(document.body).append(data).dialog();
        }
      });
    });
  });
})(jQuery);
</script>
     
<input type="button" id="send" value="send" />

JSP (sample/csrf8.jsp)

<%@ page import="jp.co.intra_mart.foundation.secure_token.SecureTokenManager" %>
<%
  if(!new SecureTokenManager(request).verify()){
    // エラー処理
    response.sendError(HttpServletResponse.SC_FORBIDDEN);
  }
  response.setContentType("text/plain; charset=utf-8");
%>
Hello CSRF!

<%@ page import="jp.co.intra_mart.foundation.secure_token.SecureTokenManager" %>
<%
  if(!new SecureTokenManager(request).verify()){
    // エラー処理
    response.sendError(HttpServletResponse.SC_FORBIDDEN);
  }
  response.setContentType("text/plain; charset=utf-8");
%>
Hello CSRF!