T

CSRF対策あれこれ

php|architectの記事で紹介されているCSRF Redirectorだが、MOPBHardened PHPプロジェクトでおなじみStefan Esser氏より不備が指摘されている

クリスのサンプルには二つの大きな危険性がある:

  • 悪意のある人が他のサイトへの攻撃の踏み台として利用するかもしれない
  • 全てのURLがウェブページというわけではない。プラグインをロードしたり、情報を表示したり、JavaScriptを実行したりすることが出来る

というわけで、夢のソリューションというわけにもいかないようだ。

#ところで、Stefan Esser氏といえばhttpOnlyの作者でもある。

Posted by on 7月 19, 2007 in PHP, Security

コメントを残す