「MT の便利で危険な使い方」へのコメント

J (2008年2月23日 13時26分)

例えばエントリーの保存等データの変更を伴うアクションの際にはセッションごとの magic_token パラメタ (hiddenフィールドに入っています) を見て有効でない場合はログイン画面に戻されます。編集画面に行けるのは確かですけど。

ということではない?

ばけら (2008年2月23日 14時18分)

>例えばエントリーの保存等データの変更を伴うアクションの際にはセッションごとの magic_token パラメタ (hiddenフィールドに入っています) を見て有効でない場合はログイン画面に戻されます。編集画面に行けるのは確かですけど。

　はい、そういう話です。

# CSRF の話ではないのです。

N4 (2008年2月23日 15時14分)

クエリを処理するルーチンが気を利かせて、GETもPOSTも同じように処理できるようになっているやつですね。たしか昔どこかでも、汎用的に使えるサブルーチン集みたいな形で公開されていたような。と調べてみたら、cgi-lib.plがそうでしたね。懐かしい。

「水無月ばけらのえび日記 : MT の便利で危険な使い方」についてコメントを書く場合は、以下のフォームに記入してください。