R4春SC 午後Ⅱ問1(CSRF)を解いた

R4春　SC 午後Ⅱ問1(CSRF)を解いた。53分くらい
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000009sgk-att/2022r04h_sc_pm2_qs.pdf

設問1(2)これ解答例がおかしいと思う
「ダウンロードするライブラリに既知の脆弱性がないか確認する。」は本文中に「既知の脆弱性が修正された(中略)サイトから~」とあるので確認はとれていると解釈できる。「特定のwebサイトからの入手をルール化し、」も本文中にある「使用するライブラリは~公開しているwebサイトから」が特定のWebサイトを指していると取れなくもないし今回ライブラリの問題は「既知の対策をしていないバージョン」と明記してあるんだからバージョンが古いことに着目した解答をすべきでは。
「どの開発部のメンバも常に最新のバージョンのライブラリを使用する」と回答した。これバツなのかなあ
→ 翔泳社の過去問解説で納得した。既知の脆弱性が含まれているのは「使用~Webサイトから」以外のWebサイトからダウンロードする可能性を示唆するものらしい。

設問2「セッションID」と回答した。
セッションID:ユーザのセッションを識別するための一意の文字列。
セッションオブジェクト:セッションIDに対応するサーバサイドオブジェクト。

設問3 (1) cとfしか合ってなくてびっくりした。一度選択肢をあてはめた文章を作って読みなおすべきだったかもしれない。
「攻撃者は、画面 [β]を利用者から見て[手前]に[可視の]状態で罠サイトに公開し、サイトの画面[α]を利用者から見て[手前]に[透明な状態で重ねて表示する。」
え!!そうなの!?ホントだ画面のは公開範囲設定じゃん
本文に「意図せず公開範囲を変更させられる」って書いてあるじゃん
公開範囲設定を変えたいユーザが変なサイトにジャンプさせられる攻撃かと思ってた...

設問3 (2) クリックジャッキング脆弱性の対策には、レスポンスヘッダにX-Frame-Optionsを含める方法とContent-Security-Policyを含める方法がある。後者は標準化されている。
X-Frame-Options: ブラウザがframe Biframeで
ページを表示することのするを指定する
Content-Security Policy:スクリプトの読みこみを許可するドメインを指定することで、悪意のあるスクリプトが読みこまれるのを防ぐ。クロスサイトスクリプティング対策にも用いられる。

設問5 (2)「リクエストをGETではなくPOSTで送信する」ってだめ?
SSRFって CSRFのサーババージョンみたいなのだからこれかなと思った
変更が大変すぎるから? 「returnURLの固定化って1行前で述べている「想定の値を設定するってことでしょ?別の対策ではなくないか?そんなことないか。

設問6(4)「サイトXのCSRF脆弱性」に対応する対策を回答する。そうかそうか