[3477] Re: 「CSRFとCSSXSSは分けて議論したい」

記事個別表示 (3477)

これは「水無月ばけらのえび日記 : CSRFとCSSXSSは分けて議論したい」に関連するコメントです。

[3477] Re: 「CSRFとCSSXSSは分けて議論したい」

えむけい (2006年4月7日 15時25分)

>>MSIEは、スクリプトをオフにする

>とありますが、

>CSSXSSでは、GETで持ってきたHtmlからHiddenを

>抜き出せる(条件がそろったときに)ので、

スクリプトが動かなければ抜き出せませんが。厳密には違いますけどそれとてアクティブ何とかを全部無効にしていればまったく問題ありませんし。

>セッションとは別に、サーバからは、トークンをcookeiで送り、

>次画面で、Hiddenで送送り返し、その値とセッションをチェックする。というのが正しいと思います。

それはサーバ側の対策です。引用された部分の1行前に

>> ちなみに利用者の対策としては、

としっかり書かれているわけですが。サーバとクライアントの区別もつかないのですか?

これは「水無月ばけらのえび日記 : CSRFとCSSXSSは分けて議論したい」に関連するコメントです。
全読: [3466]Re: 「CSRFとCSSXSSは分けて議論したい」からのスレッド(11件)]
- [3466] Re: 「CSRFとCSSXSSは分けて議論したい」 : えむけい (2006年4月4日 0時49分)
  - [3475] Re: 「CSRFとCSSXSSは分けて議論したい」 : 海老になりたい鯛 (2006年4月7日 15時5分)
    - [3476] Re: 「CSRFとCSSXSSは分けて議論したい」 : ばけら (2006年4月7日 15時13分)
      - [3478] Re: 「CSRFとCSSXSSは分けて議論したい」 : えむけい (2006年4月7日 15時42分)
    - [3477] Re: 「CSRFとCSSXSSは分けて議論したい」 : えむけい (2006年4月7日 15時25分)
      - [3479] Re: 「CSRFとCSSXSSは分けて議論したい」 : ばけら (2006年4月7日 17時1分)
        [3480] Re: 「CSRFとCSSXSSは分けて議論したい」 : スターダスト (2006年4月7日 18時42分)
        [3481] Re: 「CSRFとCSSXSSは分けて議論したい」 : えむけい (2006年4月8日 5時32分)
        [3482] Re: 「CSRFとCSSXSSは分けて議論したい」 : スターダスト (2006年4月8日 10時19分)
- [7703] 未承認メッセージ (投稿元:46.21.144.52) : gnyiaqy (2012年10月24日 13時56分)
- [8057] 未承認メッセージ (投稿元:46.21.144.52) : yrpjgqcauea (2012年12月30日 9時12分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >>>MSIEは、スクリプトをオフにする >>とありますが、 >>CSSXSSでは、GETで持ってきたHtmlからHiddenを >>抜き出せる(条件がそろったときに)ので、 >スクリプトが動かなければ抜き出せませんが。厳密には違いますけどそれとてアクティブ何とかを全部無効にしていればまったく問題ありませんし。 > >>セッションとは別に、サーバからは、トークンをcookeiで送り、 >>次画面で、Hiddenで送送り返し、その値とセッションをチェックする。というのが正しいと思います。 >それはサーバ側の対策です。引用された部分の1行前に >>> ちなみに利用者の対策としては、 >としっかり書かれているわけですが。サーバとクライアントの区別もつかないのですか?

新生鳩丸掲示板♯

記事個別表示 (3477)

[3477] Re: 「CSRFとCSSXSSは分けて議論したい」