2022年1月においてCSRF未対策のサイトはどの条件で被害を受けるか
サマリ2020年2月にGoogle ChromeはCookieのデフォルトの挙動をsamesite=laxに変更しましたが、2022年1月11日にFirefoxも同様の仕様が導入されました。この変更はブラウザ側でCSRF脆弱性を緩和するためのもので、特定の条件下では、ウェブサイト側でCSRF対策をしていなくてもCSRF攻撃を受けなくなります。この記事では、デフォルトsamesite=laxについての基礎的な説明に加え、最近のブラウザの挙動の違いについて説明します。 (2022年1月29日追記) 本日確認したところ、Firefoxにおけるデフォルトsamesite=laxはキャンセルされ、従来の挙動に戻ったようです(Firefox 96.0.3にて確認)。デフォルトsamesite=lax自体は先行してGoogle Chromeにて実装されていましたが、細かい挙動の差異で既存サイトに不具合が
HTTPステータスコードに追加された「308」とは?
2015年4月6日、HTTPの新たなステータスコードである「308 (Permanent Redirect)」がインターネット技術の標準化団体であるIETFによって「The Hypertext Transfer Protocol Status Code 308 (Permanent Redirect)」(RFC 7538)として策定された。 HTTPのステータスコードには、成功を示す200番台、ユーザー側が原因の失敗を示す400番台、サーバー側が原因の失敗を示す500番台などがある。今回仕様が追加された308を含む300番台は「リダイレクション」用に割り当てられており、HTTPの要求を完了させるために要求先とは異なるリソースを参照する必要があることをサーバーがクライアントに伝えるときに使われる。 もっとも使われるのは「304 (Not Modified)」だ。クライアントが持つキャッシュよ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
