2012-01-01から1ヶ月間の記事一覧

view-sourceへのクリックジャッキングでCSRF対策回避(?

FirefoxのNightly(12.01a)では,iframeからview-sourceを参照出来る。view-sourceでもクッキーが付加され,ログイン状態のソースが表示される。 この時JavaScriptは実行されないため、クリックジャッキング対策に親フレームを確認していても意味が無い。(X-F…