CSRF対策について
おさかなラボ / Blog Archive / [CSRF]高木氏のエントリへの返答
下のほうにも書かれていますが、セッションIDのハッシュ値(md5とか) を 確認画面のhidden に入れておいて更新処理の前に照合するのが一番簡単だし、セッションIDをhiddenに入れるよりも安全だと思うんだけど、なんか間違ってるかな?
おさかなラボ / Blog Archive / [CSRF]高木氏のエントリへの返答
下のほうにも書かれていますが、セッションIDのハッシュ値(md5とか) を 確認画面のhidden に入れておいて更新処理の前に照合するのが一番簡単だし、セッションIDをhiddenに入れるよりも安全だと思うんだけど、なんか間違ってるかな?
コメントする