[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > CSRFの説明に追記

CSRFの説明に追記

2006年3月30日(木曜日)

CSRFの説明に追記

更新: 2006年4月3日

開発者のための正しいCSRF対策 (www.jumperz.net)」。

CSRF の対策としては「攻撃者の知り得ない値」をリクエストに含める必要があり、その候補のひとつとして Cookie が上げられていました。それ自体は CSRF の対策としては正しいのですが、今回、Cookie の値を HTML 中に書き出すと別の危険性があるという指摘がされています。特定ブラウザ (MSIE) の問題ではあるのですが、確かに危険ですので、CSRFの解説に追記しておきました。

※ちなみに「CSSXSS」と呼ばれている問題の本質は「クロスドメインで任意の HTML の内容が読み取れてしまう」という点です。これは XSS とはあまり関係ありませんし、ある意味 XSS よりも危険です。その呼称は誤解を招くと個人的には思っています。

※2006-04-03追記: リンク先ですが、あっさりと閉鎖されてしまったようです。どう考えても名誉毀損を構成するような内容ではなかったと思いますが……。

関連する話題: セキュリティ / CSRF / CSSXSS

最近の日記

関わった本など