fixdap
| No | タイトル | ステータス | 重要度 | 担当 | 完了予定日 | 更新日時 | 記事数 |
|---|---|---|---|---|---|---|---|
| 26 | confirm画面を追加 | 完了 | 最低 | 未定 | 2008-02-29 10:55 | 2008-02-13 22:00 | 8 |
|
|---|
| confirm画面というものは、利便性の点だけではなく、CSRF対策としても必要ではないかなと思うわけです。 sihgeponさんの手法は動作上は問題ないですが、CSRF対策にはなってない気がします。 概説:何らかのスクリプト等から、confirm=yesを含んだPOSTデータを該当URLに直接POSTすることにより、ワンステップでレコードをinsertできてしまう。 参考:http://takagi-hiromitsu.jp/diary/20050427.html まあ、データが抜かれるわけではないので致命的ではありませんが優先度最低で一応。 |
rhaco-ja