2006年11月6日(月曜日)
Refererを捏造「させる」方法?
「CSRFとリファラー (www.freeml.com)」というお話。未確認ですが、Flash 経由でリクエストを出す際には Flash 側で HTTP 要求ヘッダに任意のフィールドを追加することができて、Referer: も追加できるのだそうで。そうだとすると、Referer: チェックによる CSRF 対策が突破される可能性がありますね。
ユーザ側の対策としては、スクリプトと ActiveX を無効にすることですかね……。
- 「Refererを捏造「させる」方法?」へのコメント (8件)
- 前(古い): 2006年11月5日(Sunday)のえび日記
- 次(新しい): 2006年11月7日(Tuesday)のえび日記
