一言感想
フレームワークでやったこととセキュリティの知識が結びつきました。
今日学んだこと
1.CSRF(クロスサイトリクエストフォージェリ)
Laravelのbladeだと@csrfするやつですね。
手法としてはXSSとすごく似てる気がします。
怪しいサイトにはアクセスしないが鉄則ですね…どこにiframeが仕込まれているか、気が抜けません…
フォームのhiddenやセッションだけじゃなくて、画像アップロードの箇所からでも仕組まれる可能性あり。
なにより、利用者側が踏み台にされて、その人のIPとしてログが残るのが厄介ですね…実際にIPアドレスで誤認逮捕があったみたいです。
対策必要なのは一部のページでいい。他のサイトから実行されちゃダメなところのみ。(最後の購入とか…)
→本物のサイトでトークンとか要求する←LaravelBladeの@csrfはこれだったのか……!