Spring SecurityのCSRF対策と設定方法の基本

CSRF対策とは？Spring Securityで学ぶクロスサイト攻撃の基本

本カテゴリでは、Spring Securityにおける CSRF（Cross-Site Request Forgery）対策を 基礎から体系的に解説します。 CSRFは、認証済みユーザーを狙う 非常に現実的かつ危険な攻撃手法です。

Spring SecurityではCSRF対策が デフォルトで有効化されており、 正しく理解せずに無効化すると 重大なセキュリティリスクを招きます。

CSRF攻撃が成立する仕組みとリスク

CSRF攻撃は、ユーザーがログイン済みであることを 悪用して、本人の意思とは無関係に 不正なリクエストを送信させる攻撃です。

本カテゴリでは、Cookie認証とHTTPの特性が どのようにCSRF攻撃を成立させてしまうのかを Spring Securityの視点で整理します。

Spring SecurityがCSRF対策を標準搭載している理由

Spring Securityは、 フォーム認証・セッション認証を前提とする Webアプリケーションにおいて、 CSRF対策を必須要件と位置づけています。

本カテゴリでは、なぜSpring Securityが CSRF保護を「デフォルトON」にしているのかを 設計思想レベルで解説します。

CSRFトークンの仕組み（生成・送信・検証）

CSRF対策の中核となるのが、 CSRFトークンによるリクエスト検証です。 トークンは攻撃者が推測できない値として サーバー側で生成されます。

本カテゴリでは、 CSRFトークンが 「いつ・どこで生成され」 「どのように送信され」 「どこで検証されるのか」 を内部動作レベルで理解します。

CSRFとCORSの違いを正しく整理する

CSRFとCORSは混同されやすい概念ですが、 目的も防御対象も全く異なります。

本カテゴリでは、 CSRFは「認証済みユーザーを守る仕組み」、 CORSは「ブラウザのアクセス制御」である点を Spring Security視点で明確に区別します。

フォームPOSTとCSRF対策の関係

Spring Boot + Spring Securityの フォーム送信では、 CSRFトークンの埋め込みが必須となります。

本カテゴリでは、 なぜGETでは不要で、 POST/PUT/DELETEでは必要なのかを HTTPメソッドの性質と合わせて解説します。

CSRFエラーが発生する仕組みを理解する

「Invalid CSRF Token」 「Missing CSRF Token」といったエラーは、 Spring Securityを使い始めた多くの開発者が 一度は遭遇します。

本カテゴリでは、これらのエラーが なぜ発生するのか、 どのレイヤーで検出されているのかを ログと処理フローから整理します。

CSRF対策が必要な画面・不要な画面の判断基準

すべてのリクエストに CSRF対策が必要というわけではありません。 特にREST APIやトークン認証では 判断が重要になります。

本カテゴリでは、 「有効化すべきケース」 「無効化しても問題ないケース」 をSpring Securityの公式設計に沿って整理します。

Thymeleaf・JavaScript・SPAでのCSRF対応

実務では、 Thymeleafフォームだけでなく、 JavaScript（Fetch/Ajax）や SPA（React/Vue）との連携が不可欠です。

本カテゴリでは、 CSRFトークンを フロントエンドへ安全に渡し、 リクエストに含めるための考え方を解説します。

CsrfTokenRepositoryの役割と選択

Spring Securityでは、 CSRFトークンの保存方法を CsrfTokenRepositoryとして抽象化しています。

本カテゴリでは、 HttpSession型・Cookie型の違いと セキュリティ・利便性のトレードオフを 比較しながら理解します。

CSRFトークンとセッション管理の関係

CSRFトークンは セッションと密接に関係しています。 有効期限・複数タブ・再ログイン時の挙動を 正しく理解することが重要です。

本カテゴリでは、 実際の運用で起きやすい 「突然CSRFエラーになる問題」を 原理から説明します。

CSRF対策を理解するとSecurity設計が一段上がる

CSRF対策は、 「エラーを回避するための設定」ではなく、 認証済みユーザーを守るための 重要なセキュリティ機構です。

本カテゴリを通じて、 Spring Securityにおける CSRF保護を自信を持って 設計・判断できるようになることを目標とします。