エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント1件
- 注目コメント
- 新着コメント
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
PlackではCGI::Sessionはやめておいた方がいいという話 - Qiita
こんな記事昔書いたんですけど、本番環境では危険であることが判明したので共有します。結論はタイトル... こんな記事昔書いたんですけど、本番環境では危険であることが判明したので共有します。結論はタイトル通りです。 事象 Plackの環境変数はサブルーチンの第一引数の(一般的にはmy $env = shiftとして取得される)ハッシュリファレンスである一方、CGI::Sessionは環境変数$ENV{REMOTE_ADDR}をコンストラクタで参照しており、CGIではない環境下において、これは常にundefになり、空文字列同士で同一のホストとして判定されてしまいます。 つまり、異なるセッションを同一として判定してしまう脆弱性(これセッションハイジャックですよね?)を引き起こします。 対策 Plackの側で都度$ENV{REMOTE_ADDR} = $env->{REMOTE_ADDR}などとする?(かなりの魔改造なので私は断念) 代わりにPlack::Sessionを使う まとめ CGI::Ses
2018/05/18 リンク