はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ CSRF対策

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 9 / 9件)
 

CSRF対策のやり方、そろそろアップデートしませんか / Update your knowledge of CSRF protection

2024/03/09 このエントリーをはてなブックマークに追加 412 users Instapaper Pocket Tweet Facebook Share Evernote Clip protection アップ やり方

PHPerKaigi 2024 • Day 1での登壇資料です。 https://phperkaigi.jp/2024/ https://fortee.jp/phperkaigi-2024/proposal/0d0f8507-0a53-46f6-bca6-23386d78f17f 続きを読む

SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog

2024/01/31 このエントリーをはてなブックマークに追加 110 users Instapaper Pocket Tweet Facebook Share Evernote Clip okazu_dm CSRF HSTS 文脈 挙動

こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れ... 続きを読む

PHPサーバーサイドプログラミングパーフェクトマスターのCSRF対策に脆弱性 | 徳丸浩の日記

2019/07/29 このエントリーをはてなブックマークに追加 217 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 CSRF 脆弱性 アルゴリズム 日記

サマリPHPサーバーサイドプログラミングパーフェクトマスターには、PHP入門書としては珍しくクロスサイト・リクエストフォージェリ(CSRF)対策についての説明があるが、その方法には問題がある。アルゴリズムとして問題があることに加えて、実装上の問題があり、そのままコピペして用いると脆弱性となる。 はじめに古庄親... 続きを読む

RailsのCSRF対策の仕組みについて - Programming log - Shindo200

2014/08/31 このエントリーをはてなブックマークに追加 220 users Instapaper Pocket Tweet Facebook Share Evernote Clip Rails Programming log エラー ブログ

2014-08-31 RailsのCSRF対策の仕組みについて Rails CSRF 先日、Rails で開発しているときに意図しない InvalidAuthenticityToken エラーが発生して、すごくハマってしまいました。そのときに Rails のCSRF対策の仕組みについていろいろと調べましたので、ブログに残しておきます。 Rails のCSRF対策 Rails が生成した Appli... 続きを読む

XMLHttpRequestを使ったCSRF(補足編) - 葉っぱ日記

2013/03/03 このエントリーをはてなブックマークに追加 181 users Instapaper Pocket Tweet Facebook Share Evernote Clip XMLHttpRequest MdN CSRF 補足編 話題

XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記を書いていて思ったけど、いまいちXHRを使ったCSRF(というかクロスオリジン通信)について理解されていないような感じだったので、ちょっと書いておきます。とりあえず日本語のリソース的には、HTTP access control | MDN が詳しくて、それを読めばだいたい事足りるんで、あとはCSRFに関連しそうな話題だけ。Q. そもそ... 続きを読む

XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記

2013/03/01 このエントリーをはてなブックマークに追加 354 users Instapaper Pocket Tweet Facebook Share Evernote Clip XMLHttpRequest value mail 通り 以下

XMLHttpRequestを使うことで、シンプルにCSRF対策が行える。POSTするJavaScriptは以下の通り。 function post(){ var s = encodeURIComponent( document.getElementById("mail").value ) + "&" + encodeURIComponent( document.getElementById("m... 続きを読む

クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される | 徳丸浩の日記

2013/03/01 このエントリーをはてなブックマークに追加 104 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 CSRF ITpro 誤認逮捕 日記

2013年3月1日金曜日 クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される 日経Linux 2013年1月号に「“誤認逮捕”を防ぐWebセキュリティ強化術」を書き、それが今週4回連載で、ITproに転載されました。この中で、クロスサイトリクエストフォージェリ(CSRF)対策について説明しましたが、クッキーモンスターバグ(Cookie Monster Bug)がある場合... 続きを読む

リファラとCSRF対策の話 - 金利0無利息キャッシング – キャッシングできます - subtech

2012/10/18 このエントリーをはてなブックマークに追加 241 users Instapaper Pocket Tweet Facebook Share Evernote Clip リファラ subtech data URI 利息キャッシング

リファラを使ったCSRF対策では多くの場合、想定していない、外部サイトのリファラが付いていたらエラーにする、ということが行われます。 一方で、ブラウザ側の設定に関わらず、リファラはいくつかの方法で消せます。 data uriからの送信 https から http への送信 meta referrerタグで送信しない指定をする(対応ブラウザのみ) 参考: http://wiki.whatwg.org... 続きを読む

高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由, hiddenパラメタは漏れやすいのか?

2006/04/10 このエントリーをはてなブックマークに追加 303 users Instapaper Pocket Tweet Facebook Share Evernote Clip 高木浩光 方式 自宅 日記 理由

水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。respon... 続きを読む

 
(1 - 9 / 9件)