CSRFっていうんですかへー。
--------
GETでリソースを操作できてしまうことが問題なんですよね...。例えばIMGタグを許容する場所でGETによるリソース操作可能URLをsrc=に貼っとけば、表示と同時にリソースが操作されてしまうわけで。ReSTですとかいっていて、実はGETでリソースを操作してしまう「API」ってたくさんあるんですよね...。あー耳が痛い。まあPOSTにすれば無問題なわけではないけど、少なくともIMGだのIFRAMEだのSCRIPTだので、貼っただけで呼び出されることが確定することはないわけで。
WebサイトではPOSTを使っていても、意外と同じクエリ文字列をGETで送っても通ってしまう実装ってたくさんあるんで、この手の問題って今後も増えていくんだろうなぁ。あー耳が痛い。
--------
コメントする