クッキーのSameSite属性のCSRF(クロスサイトリクエストフォージェリ)に対する緩和策として有効な設定はどれか、選択肢の中から2つ選択せよ。
正解
A ①Strict ②Lax
クッキーのSameSite属性をLaxに指定することで、他サイトからPOSTメソッドなどで遷移した場合送信されなくなります。また、SameSite属性にStrictを指定すると、他サイトからの遷移時にはクッキーは一切送信されなくなります。
CSRF攻撃は更新処理を狙うもので、通常POSTリクエストが使われるため、クッキーのSameSite属性としてLaxまたはStrictを指定することで攻撃の緩和になります。
なお、SameSite属性として指定できる値はStrict、Lax、Noneの3種類のみです。