エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
hostsファイルに127.0.0.1を指定した場合のCSRF対策回避の可能性
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
hostsファイルに127.0.0.1を指定した場合のCSRF対策回避の可能性
Kazuho Oku @kazuho @ockeghem same origin policyとクッキーのドメイン分離は別概念なので、127.0.0.1... Kazuho Oku @kazuho @ockeghem same origin policyとクッキーのドメイン分離は別概念なので、127.0.0.1に外部のホスト名を指定することは、後者の分離を侵すと思います。なので、理屈の上では問題が発生する可能性があると思います(続く) 2012-09-25 09:45:57 Kazuho Oku @kazuho @ockeghem たとえば、cookieの値とhiddenフィールドの値の同一性を確認する方式のCSRF対策は、クッキーのドメイン分離が保証されている場合(hostsをいじっていない場合)有効な方法です。が、hostsをいじると攻撃が成立する可能性がでてきます 2012-09-25 09:47:34