Subject: Cross-Site Request Forgeries (Re: The Dangers of Allowing Users to Post Images) Date: Fri, 15 Jun 2001 01:15:42 -0400 From: Peter W <peterw@usa.net> Cross-Site Request Forgeries (CSRF, pronounced "sea surf") I hope you don't mind if I expand on this a bit. You've come across the tip, in my opinion, of a rather large iceberg. It's another Web/trust-relationship problem. Many Web applications are fairly good at identifying users and understanding requests, but terrible at verifying origins and intent. (略)調べてみると、﹁CSRF﹂はwebappsecでは、2001年12月に一度話題になったも のの、次に登場するのは2003年1月に一度、その次は2004年3月、次は8月、そ して12月の論文紹介と、たしかに話題になることが少なかったようだ。それが 2005年になると、1月、2月、3月、4月、6月と毎月のように話題となっている。
[http://bakera.jp/hatomaru.aspx/ebi/topic/2443:title] スクリプト無効でも被害に遭う可能性があるのですが、そこが誤解されていないかちょっと心配ですね。 [http://itpro.nikkeibp.co.jp/article/COLUMN/20051104/224010/:title] http://bakera.jp/hatomaru.aspx/ebi/..