@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
フォームの2度押し防止 - izu@SAN FRANCISCO
フォームの送信ボタンを1度押した後に、ブラウザの戻るボタンでフォームページに戻ってまた送信を押す、2重送信(と言うんだろうか…)はウェブアプリケーションではよくある問題だ。 Strutsではsynchronizing tokenを使って二重送信を防止する。 簡単な例で説明しよう。 まずアクションマッピングは次のようになる。 <action path="/contact" type="app.actions.SetupContactAction" scope="request"> <forward name="success" path="/contactForm.jsp" /> </action> <action path="/contact/submit" type="app.actions.ContactSubmitAction" name="contactForm" validate
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
