プログラミング > クロスサイトリクエストフォージェリ

2006年01月30日

元ネタの記事はこちら

要は外部からパラメータを渡すだけで任意の操作が出来るようになってしまう ということで対策としては、
<hidden>にセッションIDを埋め込んでおいて、 実際に送信されたセッションIDと比較すれば良いみたいんなんだけど、 昔書いたスクリプトで似たような、処理したのを思い出した。

その時書いたのはメールフォームで、そのままだとパラメータ送るだけでメールが送信されてしまうし、 DOSアタックでもされた日には大量にメールが送信されてしまう訳で、 「何とかしなければ」と四苦八苦してたのを思い出した。

結局はセッションID埋め込んでチェックして、フォームに不正な値があった場合はセッションを維持して再入力を求め、 メールが送信できたらセッションを破棄っていう対策をとったんだけど、
クロスサイトリクエストフォージェリなんていう覚えにくい名前がちゃんとあったのね。

今書いてるフォームクラスにはSQLインジェクションとクロスサイトスクリプティングには意識しなくても 対応出来るように考えてたんだけど、こういった類の物にも簡単に出来たら便利だなと小一時間。

しかし、セキュリティ対策がフレームワーク任せになって、書く側がセキュリティを意識しないようになってしまうと、 それはそれで困る訳でとりあえず実装しなくてもいいか。

posted by 37to at : 21:24 | コメント (0) | トラックバック (0)

コメント

この記事に対するコメントはまだありません。


投稿する

投稿者情報を保存しますか?


トラックバック

トラックバックURI


一覧

この記事に対するトラックバックはまだありません。