エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
REST API(更新系)に対するCSRFにどう対処すべきか - Qiita
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
REST API(更新系)に対するCSRFにどう対処すべきか - Qiita
結論 攻撃者サイトが用意したページにおける<form>での攻撃に対しては、カスタムヘッダ必須によるプリフ... 結論 攻撃者サイトが用意したページにおける<form>での攻撃に対しては、カスタムヘッダ必須によるプリフライトチェックを入れると楽に対処できる。 XSSに対しては、トークンチェックやカスタムヘッダ必須によるプリフライトチェックは通用しない。XSSに対して鉄壁の防御を構築するしかない。 IEはWindows Updateしなければまだ使える(edgeの強制起動を回避できる)ので、IEの面倒を見続ける必要のあるサイトというのもあると思う。IEはCSPで<script>を禁止できない。このため、CSPではIEを守りきれない。PJでの対応ブラウザにIEが入っていなくても、それとは無関係にIEが標的にされることはあり得るので、IEはやっぱり無視できない。 なので、結局のところコードレビューなどで、「XSSが絶対にできない」という状態を維持していくしかなさそう。(辛い・・) <form>を利用した攻撃