Q&A
ちなみに、サーバーサイドの言語はJava8です。
表題の通りですが、親サイトの値を、子サイトにform method=postで送りたいです。
簡易的にできるセキュリティチェックがあれば教えていただきたいです。
何卒よろしくお願い致します。
追記
- サーバーサイドの言語はJava8です。
- postで送るときに、セキュリティ対策となる実装方法で、参考になりそうなものがあればおしえていただきたいです( ;∀;)
さらに追記。
postで送るときに、セキュリティ対策となる実装方法で、参考になりそうなものがあればおしえていただきたいです( ;∀;)
Cross Site Request (サーバー間)の処理を禁止させるための処理なので
そのURLをCSRFの対象にしなければいいだけです。
代わりにJWS 等を使うのも手になります。
回答1件
0
ベストアンサー
あくまで簡易的な検査ですが、以下のようにするとよいでしょう。
- 親サイトのフォームから、HTMLを取り出してエディタで編集する。以下はイメージ
HTML
1<form action="https://sub.example.jp" method="POST"> 2<input type="hidden" name="hoge" value="fuga"> 3... 4<input type="hidden" name="token" value="pXn4nsqQ7t6fFHkTHXGUWtR83U"> 5<input type="submit> 6</form>
- フォームの中に乱数文字列があれば、その中身を削除する(上記の場合はtoken)
- 上記フォームをローカルファイルに保存する
- ローカルファイルに置いたフォームを実行する
- 子サイト側で処理が実行されれば脆弱性です
検査の意味がわからなければ、IPAの安全なウェブサイトの作り方か、拙著にはなりますが「体系的に学ぶ 安全なWebアプリケーションの作り方」で勉強してください。
なお、冒頭に書いたように、これはあくまで超簡易的な検査ですので、これがOKだとしても、サイトが安全であることは意味しません。
投稿2020/04/03 00:14
総合スコア11705
あなたの回答
tips
プレビュー
