Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp

Intro 10 年ほど前に同じことを調べたことがある。 なぜ html の form は PUT / DELETE をサポートしないのか? - Block Rockin' Codes https://jxck.hatenablog.com/entry/why-form-dosent-support-put-delete 当時は全くの素人で、素人なりに調査はしたが、ほとんどが推測の域を出ない結論だった。 この問題についてあらためて記す。 仕様策定の経緯 表題の通り、 <form> の method には GET と POST しかサポートされていない。 HTTP には他にも PUT や DELETE といったメソッドもあるのに、なぜサポートされていないのかという疑問から始まった。 仕様が決定した経緯は、以下に残っている。 Status: Rejected Change Descriptio

Archive 2024 2024-03-27 RFC の URL はどのドメインで貼るのが良いか 2024-03-26 Chromium にコントリビュートするための周辺知識 2024-03-13 mozaic.fm 10 周年記念イベント開催後記 2024-02-10 Promise.withResolvers によるイベントの Promise 化 2024-02-06 TC39 に新設された Stage 2.7 について 2024-01-28 Apple によるブラウザエンジン規制の緩和 2024-01-23 Web 技術年末試験 2023 講評 #web_exam2023 2023 2023-12-31 2023 年を振り返る 2023-12-30 3PCA 最終日: 3rd Party Cookie 亡き後の Web はどうなるか? 2023-12-29 3PCA 27 日目: