回答編集履歴
1
コメントに返答します
test
CHANGED
|
@@ -9,3 +9,23 @@
|
|
|
9
9
|
|
|
10
10
|
|
|
11
11
|
ここが気になりますが、「削除等のボタン」が配置されているだけで、削除処理は確定画面(あるいは他の画面)で行うのであれば、確認画面でのトークンチェックは不要です。
|
|
12
|
+
|
|
13
|
+
|
|
14
|
+
|
|
15
|
+
---
|
|
16
|
+
|
|
17
|
+
|
|
18
|
+
|
|
19
|
+
(追記)コメントに回答します。
|
|
20
|
+
|
|
21
|
+
|
|
22
|
+
|
|
23
|
+
> 仮に、申請内容確認画面がifameにて隠ぺいされた場合、確定画面へのリクエストは行われる可能性はございますか?
|
|
24
|
+
|
|
25
|
+
|
|
26
|
+
|
|
27
|
+
攻撃者が用意したiframeに「申請内容確認画面」が入れられたという状況でしょうか? この場合は、クリックジャッキングというCSRFとは別の攻撃が成立します。このため、iframeに入れることを拒否する設定が必要です。具体的には、x-frame-optionsというレスポンスヘッダを使います。クリックジャッキングについては、以下を参照ください。
|
|
28
|
+
|
|
29
|
+
|
|
30
|
+
|
|
31
|
+
[「クリックジャッキング」に関するレポート](https://www.ipa.go.jp/about/technicalwatch/20130326.html)
|