SameSite属性の付与によるCSRF脆弱性対策 - Qiita
概要 CookieにSameSite属性を付与することで、CSRF脆弱性1に対していくらかの防御ができる。 SameSite属性はStrict,Lax,Noneの3つの値を取り、設定値により効果の範囲は異なる Strictを設定することで、CSRFを防げる。ただし、Webサイトの使いやすさが損なわれる場合がある Laxを設定することで、POSTメソッドのリクエストのみを受け付ける処理でCSRFを防げる None は従来通りの動作であり、外部サイトからCookieを送信する Webサイトのセキュリティ要件により、設定すべき値が異なる SameSite属性は主要なブラウザすべてで対応されている SameSite属性の付与がCSRF脆弱性への防御とならないケース Windows 10 RS3(2017 Fall Creators Update)未満のIE 11など、SameSite属性をサポート
3分でわかるXSSとCSRFの違い - Qiita
みなさんこんにちは。 FUJITSU その2 Advent Calendar 2018 17日目の記事担当は私 ゆきはらです。 前回14日目はkeiya-nobutaさんのSphinxの導入とLinux Kernelドキュメントのビルドで、 18日目はhasunumaさんの富士通サイバーセキュリティーワークショップ(FCSW)2018参戦記となっています。 はじめに なぜこのテーマにしたか Webアプリケーションに対する代表的な攻撃手法としてXSS(クロスサイトスクリプティング)とCSRF(クロスサイトリクエストフォージェリ)というものがあります。 しかしこの二つ、名前だけでなく攻撃手法も似ていて違いがとてもわかりづらいです。かつて私がセキュリティを勉強していたときもよく混同していました。 そこで、この記事ではXSSとCSRFの仕組みとそれらの違いについてまとめることにしました。 対象とす
CookieのSameSite属性がLaxの時の挙動 - Qiita
について調べました。 same-site とは same-siteの説明は下記の記事がとってもわかりやすかった。 https://web.dev/same-site-same-origin/ ブラウザが開いているURLと、リクエストが飛ぶ先の eTLD+1が同じであれば same-site と判定される。 same-siteなリクエストについてはSameSite属性が何であろうとCookieは付与される。 SameSite属性によって挙動が変わるのはcross-siteなリクエストの時。 NoneとStrictの挙動 NoneとStrictは理解しやすい。 None: cross-siteなリクエストについて、どんな場合でもCookieは付与される。 Strict: cross-siteなリクエストについて、どんな場合でもCookieは付与されない。 Laxの挙動 Laxは少し複雑だ。 (
「Same-site」と「same-origin」 | Articles | web.dev
「Same-site」と「same-origin」 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 「同一サイト」と「同一オリジン」はしばしば引用されますが、用語は誤解されがちです。たとえば、ページの遷移、fetch() リクエスト、Cookie、ポップアップの表示、埋め込みリソース、iframe のコンテキストで使用されます。このページでは、各プロパティの概要と相違点について説明します。 出発地 送信元の構造。 「送信元」は、スキーム(HTTP や HTTPS などのプロトコルとも呼ばれます)、ホスト名、ポート(指定されている場合)を組み合わせたものです。たとえば、URL が https://www.example.com:443/foo の場合、「origin」は https://www.example.com:443 です。 「同一オリジン」と「クロ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
