T.Teradaã®æ—¥è¨˜ - SessionSafe: Implementing XSS Immune Session HandlingSessionSafeã¯ã€ãƒãƒ³ãƒ–ルグ大å¦ã®Martin Johnsã•ã‚“ãŒæ›¸ã„ãŸWeb APã®æ–¹å¼æ¡ˆã§ã™ã€‚ ã‚‚ã—Web APã«XSS脆弱性ãŒã‚ã£ã¦ã€ã“ã‚ŒãŒæ”»æ’ƒã•ã‚ŒãŸã¨ã—ã¦ã‚‚〠セッションIDãŒç›—ã¾ã‚Œãªã„ 当該ページ以外ã®æƒ…å ±ãŒçªƒå–・改竄ã•ã‚Œãªã„ ã“ã¨ã‚’目指ã—ã¦ã„ã¾ã™ã€‚ é¢ç™½ã„ãªãƒ¼ã¨æ€ã£ãŸã®ã§ã€å†…容ã«ã¤ã„ã¦å°‘ã—書ãã¾ã™ã€‚ ãªãŠã€å…ƒè¨˜äº‹ã‚’高速斜ã‚èªã¿ã—ãŸã®ã§ã€ã“ã®æ—¥è¨˜ã®å†…容ã«ã¯é–“é•ã„ãŒå«ã¾ã‚Œã¦ã„ã‚‹ã‹ã‚‚ã—ã‚Œã¾ã›ã‚“。興味ã®ã‚ã‚‹æ–¹ã¯åŽŸæœ¬ã‚’見ã¦ãã ã•ã„。 セッションIDãŒç›—ã¾ã‚Œãªã„ 以下ã®äºŒã¤ã®ãƒ‰ãƒ¡ã‚¤ãƒ³ãŒã‚ã‚‹ã¨ã—ã¾ã™ã€‚ www.example.com secure.example.com セッションIDã®Cookieã¯ã€secureサブドメインã«ç™ºè¡Œã—ã¾ã™ã€‚ Webページを表示ã™ã‚‹éš›ã¯www.example.comã®URLã«ã‚¢ã‚¯ã‚»ã‚¹ã—ã¾ã™ã€‚ãã“ã§è¿”ã™HTMLã«è‰²ã€…ã¨ä»•æŽ›ã‘ã‚’æ–½ã—ã¾ã™ã€‚ HTMLã®ä»•æŽ›ã‘
{{#tags}}- {{label}}
{{/tags}}