Kenji
kenji****@club*****
2008年 7月 13日 (日) 09:41:31 JST
Kenji です。 On Sat, 12 Jul 2008 15:50:00 +0900 kunitsuji <tsuji****@m-s*****> wrote: > kunitsujiです。 > > たとえば、、、detail/の場合、削除処理がいきなり走ることはないですよね? > deleteで処理されるとおもいますが、 > そのときにdelete/47 > として削除可能としてしまうと、起こりますね。 > > POSTを使うのは、URL直打ちでは起きないようにするということへの対処という > ことでもあるでしょう。 > ただし、完全ではありません。 そうですね。POST するページを作成したり、JavaScript で POST させる ことで削除できますね。 > このあたり、削除する機能はたとえば管理者のみにするといった方法をとること > が多く、 > その場合ログインしているのかしていないのかとかの制限を設けることで対応し > ていることが多いです。 > > あとは、このような処理の場合、ログインしている方が対象で開くとおもいます > ので、接続している人のログイン情報を見て、 > 削除権限があるのかないのかを判定したりします。 > > delete/47 > とURL直接たたかれて削除してしまう、という処理は、そういう意味では危険と > いうことですね。 > 通常行われるのは > 削除する権限があるのかないのか、 > ログインしているのかしていないのか > 47というIDが有効なのかどうか > 等をみて処理を行います。 さらに、ログインの有無だけでは、現在では CSRF脆弱性として扱われます。 管理者にそのような URL にアクセスさせる受動的攻撃という手法があるためです。 『徹底入門』では、p.178〜を参照願います。 // Kenji
