独自ヘッダをチェックするだけのステートレスなCSRF対策は有効なのか? — A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or something
「WebAPIのステートレスなCSRF対策」という2011-12-04の記事がありました。 ここで説明されているCSRF対策は、 GET、HEAD、OPTIONSメソッドのHTTPリクエストはCSRF保護の対象外 HTTPリクエストにX-Requested-Byヘッダがなければエラーにする という非常にシンプルなものです。 そして、この対策の原理として以下の説明がありました。 form, iframe, imageなどからのリクエストではHTTPリクエストに独自のヘッダを付与することができません。独自のヘッダをつけるにはXMLHttpRequestを使うしかないわけです。そしてXMLHttpRequestを使う場合にはSame Origin Policyが適用されるため攻撃者のドメインからHTTPリクエストがくることはない、ということのようです。 ここで、 XMLHttpRequestを使
日本人ITエンジニアの90%に記事を書いてほしくない
anond:20181007134350 嘘か、糞の役にも立たないゴミ情報が多すぎる。 おかげで何かを調べたい時には英語で検索して、日本語の検索結果を排除する設定にせざるを得なくなってる。 日本人のITエンジニアの90%は人に何かを教えられるレベルには達してない [追記] QAサイトが英語圏もゴミなのは同意です。 でもね、日本語圏にはアカデミック界隈の情報がすくないんですよ。何かのアルゴリズム、何かの数値処理など、理論的な背景から実装までを知りたいと思った時に、全く役に立たないんですね。そりゃね、Windowsでアプリケーションを作りたくて、UIコントロールの機能や使い方を知りたい程度なら、日本語情報も役に立ちますよ。欲しい情報が専門化するほど、日本語情報はないか、あってもゴミなんです。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
