How can it be fixed? Well, there are a couple of ways to stop it, but the easiest (in PHP at least) seems to be to have most of the variables used by scripts be used through $HTTP_POST_VARS. So instead of checking for $action in a script, $HTTP_POST_VARS['action'] would be checked. This forces the user to use a POST request
ちゃんと調べているね (スコア:1, 参考になる)
その通り。オープンソースに限らずセキュリティでも日本はガラパゴス諸島化しているんです、とか書くとまた叩かれるのかな。基本的に彼の書いているのは、日本以外でよく見かけるドキュメントと基本的にかわりませんが、有用であることは確かであり、いずれにしてもよく調べていると思います。
Re:ちゃんと調べているね (スコア:3, 参考になる)
CSRF が最初に Bugtraq に出たときから sessionid を POST に入れる話は出てましたよ。
The Dangers of Allowing Users to Post Images (Cross-Site Request Forgeries) 17 Jun. 2001 [securiteam.com]
Re:ちゃんと調べているね (スコア:0)
Re:ちゃんと調べているね (スコア:0)
たとえばどこにありますか?