暮らしの技術

暮らしを豊かにする技術や、特に暮らしを豊かにしない技術があります

XHR2でCSRFする話ちゃんと理解できてなかった

HTML5におけるCSRF対策の注意事項 | Opentone Labs.

を読んでいて,攻撃対象のレスポンスヘッダにAccess-Control-Allow-Origin: *とかが付いてないとSame Origin Policyに引っかかって失敗する気がして,気になって,はてブにそのこと書いたら id:teppeis さんが教えてくれた.*1

id:side_tana レスポンスが読めないだけで一方的にリクエストすることは可能です。

はてなブックマーク - HTML5におけるCSRF対策の注意事項 | Opentone Labs.

なるほど確かに!! という感じ.teppeis さんありがとうございました!!!

*1:なんかフロントエンドセキュリティ界隈のメジャーな人たちが黙ってはてブしてたからきっと成立するんだろうなとは思ってたんだけど,イマイチ腑に落ちなかった