アカウント名:
パスワード:
できるだけCookie使いたくないんだけどね。
ってのはダメなのかな。
Cookieを使いたくないということですが、どういった形態のサイトについての話なんでしょうか?
もし、ログインが必要な会員制のサイトならば、セッションIDやパスワードなどの識別情報を、URLに含めて渡すかPOSTメソッドで送信していることになります。
そういった方式での管理ならば、セッション情報を確認していないページがあるなどの脆弱性が無い限り、そもそも、CSRF及びCSSXSS攻撃は受けません。 なぜならば、攻撃者は識別情報を予測することができないからです。
追記ですが、URLにセッションIDやパスワードを含めることは、URLに埋め込むIDに頼ったセッション管理方式の脆弱性(2) [aist.go.jp]に書かれているような問題が発生するので推奨できません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
Cookie依存というのがねぇ (スコア:1)
できるだけCookie使いたくないんだけどね。
ってのはダメなのかな。
Re:Cookie依存というのがねぇ (スコア:1)
Cookieを使いたくないということですが、どういった形態のサイトについての話なんでしょうか?
もし、ログインが必要な会員制のサイトならば、セッションIDやパスワードなどの識別情報を、URLに含めて渡すかPOSTメソッドで送信していることになります。
そういった方式での管理ならば、セッション情報を確認していないページがあるなどの脆弱性が無い限り、そもそも、CSRF及びCSSXSS攻撃は受けません。
なぜならば、攻撃者は識別情報を予測することができないからです。
Re:Cookie依存というのがねぇ (スコア:1)
追記ですが、URLにセッションIDやパスワードを含めることは、URLに埋め込むIDに頼ったセッション管理方式の脆弱性(2) [aist.go.jp]に書かれているような問題が発生するので推奨できません。