Ethna - PHPウェブアプリケーションフレームワーク - クロスサイトリクエストフォージェリの対策コードについてクロスサイトリクエストフォージェリの対策コードについて 概要 EthnaはPOSTとGETを区別しないため、クロスサイトリクエストフォージェリ(以下CSRF)については一般的なリンクによる攻撃でもCSRFが成立します。 例として、 認証が必要なDeleteアクションを外部の人間がCSRFを利用して実行する場合を考えてみます。 DeleteアクションはidをPOSTされるとそのidを持つカラムを削除する機能をもっていたとします。だいたい以下のような実装です。 DeleteActionForm -- 中略 -- 'id' => array( 'name' => 'id', 'type' => VAR_TYPE_INT, 'form_type' => FORM_TYPE_TEXT, 'required' => true, ), 'submit' => array( 'name' => 'su
longkey1.net
