通常Djangoは{% csrf_token %}をテンプレートで書いていないとcsrftokenをクッキーにセットしない。 確実にセットするためには from django.views.decorators.csrf import ensure_csrf_cookie @ensure_csrf_cookie def view(request): pass // using jQuery function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie != '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.
Posted by James Bennett on February 8, 2011 Today the Django team is issuing multiple releases -- Django 1.2.5 and Django 1.1.4 -- to remedy three security issues reported to us. All users of affected versions of Django are urged to upgrade immediately. Flaw in CSRF handling Django includes a CSRF-protection mechanism, which makes use of a token inserted into outgoing forms. Middleware then checks
I could use some help complying with Django's CSRF protection mechanism via my AJAX post. I've followed the directions here: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ I've copied the AJAX sample code they have on that page exactly: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax I put an alert printing the contents of getCookie('csrftoken') before the xhr.setRequestHeader
パラメータは1行に1つ、次に示すように「=」で連結して記述してください。 param1=123 param2=abc param2=あいう
「上司からウェブサイトのセキュリティチェックをしろって言われたけど、具体的に何をすれば良いかわからない!」 「趣味でウェブサイトを作っているけど、セキュリティ対策は大丈夫だろうか?」 そんな悩めるWebプログラマーの為のセキュリティ対策ガイドです。 安全なウェブサイトの作り方(PDF)が参考になります。 上記資料によれば、ウェブサイトの脆弱性には下記のようなものがあります。 1) SQL インジェクション 2) OS コマンド・インジェクション 3) ディレクトリ・トラバーサル 4) セッション管理の不備 5) XSS(クロスサイト・スクリプティング) 6) CSRF(クロスサイト・リクエスト・フォージェリ) 7) HTTP ヘッダ・インジェクション 8) メールヘッダ・インジェクション 9) アクセス制御や認可制御の欠落 上記 1) ~ 9)まで、常に全てをチェックする必要があるとは限り
CSRFとか、わかりにくい言葉をわかりにくいままに使っているから、いまいちちゃんと知識が広まらないし、対策もひろまらないんじゃないか。 CSRFを「よそのサイトの機能を呼び出す攻撃」とかひらいて表記するようにすれば、もうちょっと雰囲気が伝わるんじゃなかろうか。 よそのサイトの機能ってのは、ごく普通のサイトだったら「メール送信フォーム」とか「掲示板」とか「コメント投稿」とか、そんなもののこと。 高機能なサイト、たとえばmixiとかFacebookとかのSNSなんかだと、友達登録とかメッセージとかいろんな機能がある。 そういう機能は、サーバー上で動作するプログラムによって動いているんだけど、サーバー上のプログラムに指示を出すのは、Webブラウザからのリクエスト。 Webブラウザからサーバーにリクエストを出す一番簡単な方法は、URLを呼び出すこと。 ブラウザのURL欄にごちゃごちゃ書いてリターン
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く