読者です 読者をやめる 読者になる 読者になる

無知を晒す

ふだんの出来事はこっちに書いてます: http://tana.hatenablog.com

XHR2でCSRFする話ちゃんと理解できてなかった

HTML5におけるCSRF対策の注意事項 | Opentone Labs.

を読んでいて,攻撃対象のレスポンスヘッダにAccess-Control-Allow-Origin: *とかが付いてないとSame Origin Policyに引っかかって失敗する気がして,気になって,はてブにそのこと書いたら id:teppeis さんが教えてくれた.*1

id:side_tana レスポンスが読めないだけで一方的にリクエストすることは可能です。

はてなブックマーク - HTML5におけるCSRF対策の注意事項 | Opentone Labs.

なるほど確かに!! という感じ.teppeis さんありがとうございました!!!

*1:なんかフロントエンドセキュリティ界隈のメジャーな人たちが黙ってはてブしてたからきっと成立するんだろうなとは思ってたんだけど,イマイチ腑に落ちなかった