Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp

Intro 10 年ほど前に同じことを調べたことがある。 なぜ html の form は PUT / DELETE をサポートしないのか? - Block Rockin' Codes https://jxck.hatenablog.com/entry/why-form-dosent-support-put-delete 当時は全くの素人で、素人なりに調査はしたが、ほとんどが推測の域を出ない結論だった。 この問題についてあらためて記す。 仕様策定の経緯 表題の通り、<form> の method には GET と POST しかサポートされていない。HTTP には他にも PUT や DELETE といったメソッドもあるのに、なぜサポートされていないのかという疑問から始まった。 仕様が決定した経緯は、以下に残っている。 Status: Rejected Change Description:

Index 2025 2025-05-12 大フィッシング攻撃時代における攻撃手法と自衛手段の考察 2025-04-25 3PCA 31 日目: 3rd Party Cookie 廃止の廃止 2025-04-16 閲覧履歴があってもリンクの色が変わらないケースについて 2025-04-03 Web における Security, Safety, Trust の相対性 2025-04-01 悪いのは全部 Eve だと思ってた 2025-03-06 CSS における if と function の提案 2025-03-03 OWASP に Cookie Theft 対策 Cheat Sheet を執筆した 2025-02-25 Web における Beacon の変遷 (sendBeacon(), fetch() keepalive, fetchLater()) 2025-01-27 "Less