スレッド内全記事表示 (記事 2857 からのスレッド)

えむけい (2005年4月22日 19時41分)

> https:// ページから http:// ページへのリンクでReferer:を送出しないことは、 RFCに定められてはおらず、

高木さんともあろうお方【誰】がRFC 2616(しかも「15 Security Considerations」)をご覧になっていないのでしょうか

> Clients SHOULD NOT include a Referer header field in a (non-secure)

> HTTP request if the referring page was transferred with a secure

> protocol.

まあMUST NOTでない以上Webアプリケーションがブラウザの挙動をアテにしてはいけないという結論に変わりはないと思いますが。

全読: [2857]Re: URLに埋め込むIDに頼ったセッション管理方式の脆弱性(2) － REFERER情報流出によるセッションハイジャック攻撃の問題－からのスレッド(1件)]
- [2857] Re: URLに埋め込むIDに頼ったセッション管理方式の脆弱性(2) － REFERER情報流出によるセッションハイジャック攻撃の問題－ : えむけい (2005年4月22日 19時41分)

新生鳩丸掲示板♯