じぶんメモ

プログラミングのメモ、日常のメモとか。

セキュリティ

hidden フィールドマニピュレーション

hidden フィールドマニピュレーションとは ファイルのダウンロード機能や、ECサイトなどで、 重要な情報をhiddenフィールドに保持させておいたために、 リクエスト送信時にhiddenフィールドの値を改ざんされ、 不正に情報を取得されること。 hidden項目だけ…

クロスサイトスクリプティング対策

クロスサイトスクリプティングとは スクリプトタグ等、ユーザが入力した悪意のある値がhtmlに埋め込まれ、 スクリプトが実行されてしまう脆弱性のこと。 対策 formでユーザが入力した値をhtmlに出力する際は必ずエスケープ処理をかける。 POSTでパラメータと…

AjaxにおけるCSRF対策

HTTPヘッダのX-requested-withの値をチェック? HTTPヘッダのX-requested-withの値が、Ajax通信を示す「xmlhttprequest」であることを確認する。 SameOriginPolicyより、Ajax通信では、不正な外部ドメインからのアクセスはできない。 SameOriginPolicyとは …

CSRF対策

CSRFとは クエスト強要(CSRF:Cross-site Request Forgery)。 本来拒否すべき、外部のWebページからのHTTPリクエスト(POSTやGET)によって、 Webサイトの何らかの機能が実行されるというもの。 ユーザが罠を踏んで、ECサイトで勝手に買い物をされるといっ…