タグ

characterとセキュリティに関するJizamuraiのブックマーク (1)

  • 第2回 しーさーふって何ですか? | gihyo.jp

    ※ src: 画像の場所を指定する属性。相対パスではなくURLで書けば、他のドメインにある画像を表示することも可能。つまりURLに対してGETリクエストを行う(閲覧者に行わせる)お手軽な手段とも言え、これを用いてなんらかの攻撃が行われることもしばしば。 まとめ このように、imgタグなどによって、閲覧者のブラウザからどこかのURLへ任意のリクエストを「送らせる」ことは簡単にできてしまいます。しかも、それで発生するリクエストは、閲覧者自身がリンクをクリックしたときとなんら変わりはありません。では、これを攻撃として用いられた場合(つまりCSRF⁠)⁠、Webプログラム側ではどのように防げばよいのでしょう。 きっとまっさきに思いつくのは、「⁠POSTリクエストを使うようにする⁠」⁠、あるいは「リファラヘッダ(リンク元が記載されているヘッダ行)のチェックを行う」などでしょうか。しかしそれだけでは不

    第2回 しーさーふって何ですか? | gihyo.jp
  • 1