2016-01-20から1日間の記事一覧
inputタグで、disabledがtrueになっている項目は、サーバーにPOSTされない。 なお、readonlyになっている項目はカーソルで選択状態にすることができ、POSTもされる。
HTTPヘッダのX-requested-withの値をチェック? HTTPヘッダのX-requested-withの値が、Ajax通信を示す「xmlhttprequest」であることを確認する。 SameOriginPolicyより、Ajax通信では、不正な外部ドメインからのアクセスはできない。 SameOriginPolicyとは …
CSRFとは クエスト強要(CSRF:Cross-site Request Forgery)。 本来拒否すべき、外部のWebページからのHTTPリクエスト(POSTやGET)によって、 Webサイトの何らかの機能が実行されるというもの。 ユーザが罠を踏んで、ECサイトで勝手に買い物をされるといっ…