inputタグで、disabledがtrueになっている項目は、サーバーにPOSTされない。 なお、readonlyになっている項目はカーソルで選択状態にすることができ、POSTもされる。

HTTPヘッダのX-requested-withの値をチェック？ HTTPヘッダのX-requested-withの値が、Ajax通信を示す「xmlhttprequest」であることを確認する。 SameOriginPolicyより、Ajax通信では、不正な外部ドメインからのアクセスはできない。 SameOriginPolicyとは …

CSRFとは クエスト強要（CSRF：Cross-site Request Forgery)。 本来拒否すべき、外部のWebページからのHTTPリクエスト（POSTやGET）によって、 Webサイトの何らかの機能が実行されるというもの。 ユーザが罠を踏んで、ECサイトで勝手に買い物をされるといっ…