更新: | 2024-09-08 |
---|---|
作者: | @voluntas |
バージョン: | 2024.12 |
url: | https://voluntas.github.io/ |
概要
更新: | 2024-09-08 |
---|---|
作者: | @voluntas |
バージョン: | 2024.12 |
url: | https://voluntas.github.io/ |
概要
http://co3k.org/blog/csrf-token-should-not-be-session-id について。
この記事では触れられていませんが、
この際ハッキリ言っておくべきだと思うので書きますが、そもそもセッションIDを(HTMLソース中に埋め込む)CSRF対策トークンとして使うのは間違いでした。最初から間違っていたのです。正確に言うとCSRFの話は関係ないですね。CSRF関係なく、特に「単体で」セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません。