Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
Cross Origin の時の Cookie 送信 Cross Origin の場合は CORS 関連のヘッダを設定し、 fetch 関数であれば credentials オプションに include を設定しないと Cookie は送信されません Cross Site の場合はさらに SameSite 属性に None を設定する必要があります SameSiteに設定する値 Same Site に設定できる値は Strict, Lax(デフォルト), None の3種類あります。 Cross Site リクエスト時に Strict だと Cookie は送信されません。None であれば Cookie が送信されます デフォルトである Lax だとトップレベルナビゲーションの時のみ Cookie を送信します。トップレベルナビゲーションとは、WEBブラウザのURLバーのURLと、表示さ
はじめに Cookie の安全な設定について調べていると登場する SameSite 属性は、Google Chrome の仕様変更の話もあり、耳にしたことがある方も少なくないと思います。 Cookie には SameSite 属性と間違えやすい設定として Domain 属性もあり、片方だけ設定すればいいのか、どう使い分けるものなのかが一見分かりにくいのではないでしょうか。 結論 結論としては、Cookie の Domain 属性は送信「先」の制限、SameSite は送信「元」の制限という違いです。 Domain 属性は Cookie を送る先を設定するもので、誤って設定すると第三者のサイトに Cookie を送信することになり、セッションハイジャックが発生する可能性があります。 SameSite 属性は Cookie を送信するもとになるサイトを指定する属性で、CSRF 攻撃に対するいく
フィードバックを送信 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。
Intro このエントリは、3rd Party Cookie Advent Calendar の 4 日目である。 3rd Party Cookie のカレンダー | Advent Calendar 2023 - Qiita https://qiita.com/advent-calendar/2023/3rd-party-cookie 前回は「サブリソースにまで Cookie が送られて何が嬉しいのか」という話だった。 今回はそのユースケースについて考えていく。 「さっき見てた商品が出る」のからくり 例えば、EC サイトで色々な商品を探した後に、全然関係のないサイトで、なぜかさっきまで見ていた商品がそのサイト内でおすすめされている、という経験があるだろう。 今回はリアルワールドの例として、楽天の実装を引用する。 まず、楽天市場のサイトでミネラルウォーターを物色する。 その後、Yahoo!
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
