はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ SameSite属性

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 4 / 4件)
 

SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog

2024/01/31 このエントリーをはてなブックマークに追加 110 users Instapaper Pocket Tweet Facebook Share Evernote Clip okazu_dm HSTS CSRF 文脈 挙動

こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れ... 続きを読む

2023年4月においてクリックジャッキング未対策のサイトはどの条件で被害を受けるか

2023/04/03 このエントリーをはてなブックマークに追加 192 users Instapaper Pocket Tweet Facebook Share Evernote Clip 被害 localStorage 条件 クリックジャッキング

サマリ CookieやlocalStorage等でセッション管理しているウェブサイトがクリックジャッキング対策していない場合、どの条件で被害を受けるかを説明する。SameSite属性のないCookieでセッション管理しているウェブサイトは、主要ブラウザのデフォルト設定ではクリックジャッキングの影響を受けない。一方、loaclStorageに... 続きを読む

CookieのSameSite属性と4つの勘違い(2022-10版) - SSTエンジニアブログ

2022/10/28 このエントリーをはてなブックマークに追加 19 users Instapaper Pocket Tweet Facebook Share Evernote Clip Twitter GitHub SST SSTエンジニアブログ

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 Fetch API*1 や XMLHttpRequest*2 を使ってクロスサイトのCookieを送る・送らないの実験をする機会がありました。 そこで自分の勘違いが複数発見され、改めて「今のクロスサイト Cookie って難しいな」と感じ... 続きを読む

Chrome 80が密かに呼び寄せる地獄 ~ SameSite属性のデフォルト変更を調べてみた - Qiita

2020/02/01 このエントリーをはてなブックマークに追加 243 users Instapaper Pocket Tweet Facebook Share Evernote Clip Qiita 地獄 Chrome 80

図にすると以下のようになります。 Strict 外部サイトからのアクセスではCookieを送らない。 Lax 外部サイトからのアクセスはGETリクエストのときだけCookieを送る。 None 従来通りの動き。 セキュリティ上の効果 CSRF対策になります。 CSRF (クロスサイト・リクエスト・フォージェリ) とは、 WEBサイトがユーザー本人の... 続きを読む

 
(1 - 4 / 4件)