＜前回のお話＞　プログラミング未経験（14歳）とは思えない抜群のセンスを発揮しだしたわかばちゃん。しかし、次々に繰り出したCSRF対策も、はまちちゃんにことごとく跳ね返されてしまいます。それじゃ、いったいどうすれば…!? 気になるCSRF対策完結編のはじまりはじまり！

まとめ

ついに完結したCSRF編。いかがでしたか。CSRFされては困るような大事な画面では、このようにトークンと呼ばれる「合い言葉」を使って、CSRFへの対策が行われることが多いのです。トークンについての詳細はマンガでは省略していますが、イメージは掴んでいただけたでしょうか。

「トークンを使った方法」と一言で言っても、実はさまざまな実装方法があります。よく使われているのは、セッションごとに1つのトークンを発行（固定トークン⁠）⁠、またはフォームの出力時に毎回トークンを発行（ワンタイムトークン）して、セッションデータへ格納しておくといった方法です。

セッション…といきなり言われても困る方もいるかもしれませんね。簡単に説明すると、これも「合い言葉」のひとつで、サーバがクライアントを識別するための手段として使われています。はじめのうちは、わかりやすく「通信のたびに毎回、ID・パスワードを送信する代わりに使う合い言葉」とでも覚えておけばイメージが掴みやすいのではないでしょうか（実際にはログインが必要のない場面でも使用します⁠）⁠。

さて、次回はいよいよXSS（クロスサイトスクリプティング）編に突入です。わかばちゃんに迫り寄る怪しい黒い影… XSSであんなことやこんなことまでもが赤裸々に…！ 開花しつつある幼い蕾つぼみは（以下略⁠）⁠。おたのしみに！

ついに姿を現した機械伯爵 XSS…
次回、その恐るべき手口が明かされる!?