hata's LABlog: CSRFå¯¾ç– with JavaScriptJavaScript を使ã£ãŸ CSRF 対ç–ã®æ–¹æ³•ã¨ã—ã¦ã€ä»¥å‰ Kazuho@Cybozu Labs ã§ç´¹ä»‹ã•ã‚Œã¾ã—ãŸã€‚ CSRF å¯¾ç– w. JavaScript CSSXSS ã«å¯¾ã—ã¦è„†å¼±ã§ãªã„ CSRF 対ç–ã¨ã¯ã©ã®ã‚ˆã†ãªã‚‚ã®ã‹ã€ã¨ã„ã†è°è«–ãŒç¶šã„ã¦ã„るよã†ã§ã™ãŒã€JavaScript を用ã„ã¦ã‚ˆã„ã®ã§ã‚ã‚Œã°ã€ç°¡å˜ãªå¯¾ç–手法ãŒå˜åœ¨ã™ã‚‹ã¨æ€ã„ã¾ã™ã€‚ ã“ã“ã§ã•ã‚‰ã«ä¸€æ©é€²ã‚ã¦ã€æ—¢å˜ã® FORM è¦ç´ ã« onsubmit 属性ã€ãŠã‚ˆã³ hiddenãƒ•ã‚£ãƒ¼ãƒ«ãƒ‰ã‚’ç›´æŽ¥è¿½åŠ ã›ãšã«ã€JavaScript ファイルを1ã¤ã‚¤ãƒ³ã‚¯ãƒ«ãƒ¼ãƒ‰ã™ã‚‹ã“ã¨ã«ã‚ˆã‚Šã€æ—¢å˜ã‚¢ãƒ—リケーションã®æ›¸ãæ›ãˆã‚’ã•ã‚‰ã«å°‘ãªãã™ã‚‹æ–¹æ³•ã‚’紹介ã—ãŸã„ã¨æ€ã„ã¾ã™ã€‚ 以下㮠JavaScript ファイルをHTMLã®æœ€å¾Œã§ã‚¤ãƒ³ã‚¯ãƒ«ãƒ¼ãƒ‰ã™ã‚‹æ–¹æ³•ã§ã™ã€‚ fight_csrf.js sessid_name = ""; scripts = docume
{{#tags}}- {{label}}
{{/tags}}