タグ

関連タグで絞り込む (1)

タグの絞り込みを解除

CSRFとセキュリティに関するsujiiのブックマーク (1)

  • formタグを利用したtoken奪取 - ma<s>atokinugawa's blog

    スクリプトの実行はできない(XSS対策されている)し、tokenは導入されている(CSRF対策されている)のに、tokenを奪取され、不意な操作をされてしまう例というのを1つ、やってみたいと思います! 実証だニャン! http://d.hatena.ne.jp/kinugawamasanyan/20101012/nyan 原理 こういうフォームがあったら、submitボタンを押下した時にtokenの値がA、Bどっちにポストされるでしょうか。 <form action="A" method="post"> <form action="B" method="post"> <input type="hidden" name="token" value="123123123"> <input type="submit"> </form> 答えはAです。 つまり来設置されたフォームより前に別のf

    formタグを利用したtoken奪取 - ma<s>atokinugawa's blog
  • 1