開発者のための正しいCSRF対策
「■誤った対策その1: セッションIDをトークンとして使う」

先日、私もあるサイト用にCSRF対策をしたのですが、いろいろなサイトに書いてあった、セッションIDをトークンとして使うのは ？？？ だと思い乱数でトークンを作るようにしましたがが、やっぱりそうですようね。
ちなみに、そのシステムは Seasar を使っているので、トークンの生成、検証部分はアスペクトで行い。テンプレートの変更のみで、アプリケーションのコードはいっさい変更せずに済みました :-)