回答編集履歴
2
ネストした箇条書きダメっぽい
test
CHANGED
@@ -2,9 +2,7 @@
|
|
2
2
|
|
3
3
|
|
4
4
|
|
5
|
-
- 明示的にトークンで対策していなくても,単純に一発本家のURLを踏むだけでアウトになるパターンは免れることができる。
|
6
|
-
|
7
|
-
|
5
|
+
- 明示的にトークンで対策していなくても,単純に一発本家のURLを踏むだけでアウトになるパターンは免れることができる。(但し,第三者のサイトに仕掛けられた**「確認画面と実行画面のURLを`iframe`にて時間差で読み込む」**などのURLを踏んでしまうとアウト。結局不完全な対策に過ぎない)
|
8
6
|
|
9
7
|
- 2回目のバリデーションは「セッションに値が入っているか」だけで済む。
|
10
8
|
|
1
徳丸さんから突っ込まれたので
test
CHANGED
@@ -2,7 +2,9 @@
|
|
2
2
|
|
3
3
|
|
4
4
|
|
5
|
-
- 明示的にトークンで対策していなくても,
|
5
|
+
- 明示的にトークンで対策していなくても,単純に一発本家のURLを踏むだけでアウトになるパターンは免れることができる。
|
6
|
+
|
7
|
+
- 但し,第三者のサイトに仕掛けられた**「確認画面と実行画面のURLを`iframe`にて時間差で読み込む」**などのURLを踏んでしまうとアウト。結局不完全な対策に過ぎない。
|
6
8
|
|
7
9
|
- 2回目のバリデーションは「セッションに値が入っているか」だけで済む。
|
8
10
|
|
@@ -16,7 +18,7 @@
|
|
16
18
|
|
17
19
|
|
18
20
|
|
19
|
-
個人的にはもちろん後者が好みです。CSRF対策を完璧にしようと思ったらトークンは
|
21
|
+
個人的にはもちろん後者が好みです。CSRF対策を完璧にしようと思ったらトークンは不可欠ですし,バリデーションロジックを共通化しておけば余分にコードを書く必要もないからです。
|
20
22
|
|
21
23
|
|
22
24
|
|