回答編集履歴
1
将来について追記しました
test
CHANGED
@@ -2,5 +2,10 @@
|
|
2
2
|
|
3
3
|
FORMに関してはウェブの黎明期からあるものですので、サイトをまたがってFORMの送信をすることのセキュリティリスクは分かっていませんでした。その後、クロスドメインの更新処理についてもCookieが自動的に送信されることから、CSRF攻撃ができることがわかり、アプリケーション側で対策することになりました。CookieはFORMよりも後から追加された機能ですので、その時点では、FORMというものは元々クロスサイトでも使えたという「歴史的な理由」になります。もしもこの攻撃方法が最初からわかっていれば、少なくともPOSTメソッドはクロスドメイン制約をかけていたと思いますが、Cookieが発明されていなかったので、「最初からわかっていれば」というのは無理ということになります。
|
4
4
|
|
5
|
+
> 将来的にはクロスドメイン制約が掛かるのでしょうか?
|
6
|
+
|
7
|
+
これはないと思います。もしこの制約を追加すると、世界中のサイトを変更しなければならず非常に破壊的な変更になるからです。
|
8
|
+
その代わり、CSRF攻撃の緩和策としてCookieのSameSite属性が追加され、Google Chrome等ではSameSite=Laxがデフォルトに変更されています。これにより、CSRF攻撃をデフォルトで防ぐようになっています。ただ、Firefoxではこの変更はされておらず、まだCSRF攻撃は現役の攻撃手法です。
|
9
|
+
|
5
10
|
XHRやFetch APIに関してはクロスドメイン通信を無制限に許すと情報が漏洩するなどのセキュリティ上の問題が出ることが分かっていましので、元々同一オリジンポリシーにより禁止されていましたが、CORSにより、相手側の虚化がれば許可されるように仕様が変わりました。
|
6
11
|
|