質問編集履歴
1
内容のフォーマットをリスト形式へ変更
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -26,37 +26,33 @@
|
|
|
26
26
|
|
|
27
27
|
<画面例>
|
|
28
28
|
|
|
29
|
-
```ここに言語を入力
|
|
30
29
|
|
|
31
|
-
・ログイン/ログアウト:要対策
|
|
32
30
|
|
|
33
|
-
|
|
31
|
+
- ログイン/ログアウト:要対策
|
|
34
32
|
|
|
35
|
-
|
|
33
|
+
- 注文データの変更画面(+変更メソッド):要対策
|
|
36
34
|
|
|
37
|
-
|
|
35
|
+
- 顧客検索画面(Postでパラメタを送信し、検索結果を一覧表示する):不要(検索のみなので攻撃のインパクトはなし?)
|
|
38
36
|
|
|
39
|
-
|
|
37
|
+
- 注文CSVダウンロード(getでパラメタを渡して検索結果データをCSVとしてダウンロードする):不要(ユーザのローカルにダウンロードするのみなので影響なし?)
|
|
40
38
|
|
|
41
|
-
|
|
39
|
+
- 売上集計画面(Postでパラメタ送信し、集計した結果を表示する):不要(検索画面と同様)
|
|
40
|
+
|
|
41
|
+
|
|
42
42
|
|
|
43
43
|
|
|
44
44
|
|
|
45
45
|
<CSRF対策が必要かどうかの検討軸>
|
|
46
46
|
|
|
47
|
-
```ここに言語を入力
|
|
48
|
-
|
|
49
47
|
また、CSRF対策が必要かどうかを判断する観点を思いつくものをピックアップしたのですが、
|
|
50
48
|
|
|
51
49
|
こちらも皆様からご覧になって必要ではない観点などございますでしょうか(漏れている観点など)?
|
|
52
50
|
|
|
53
|
-
|
|
51
|
+
- ログイン/ログアウト処理は対応が必須
|
|
54
52
|
|
|
55
|
-
|
|
53
|
+
- データの変更や追加、メール送信などが実行される画面やメソッドには基本的に対応が必要
|
|
56
54
|
|
|
57
|
-
|
|
55
|
+
- データの検索のみ実施している画面、メソッドは対応不要
|
|
58
|
-
|
|
59
|
-
```
|
|
60
56
|
|
|
61
57
|
|
|
62
58
|
|