[過去ログ]
スレ立てるまでもない質問はここで 152匹目 (1002レス)
スレ立てるまでもない質問はここで 152匹目 http://mevius.5ch.net/test/read.cgi/tech/1573214616/
上
下
前
次
1-
新
通常表示
512バイト分割
レス栞
このスレッドは過去ログ倉庫に格納されています。
次スレ検索
歴削→次スレ
栞削→次スレ
過去ログメニュー
325: デフォルトの名無しさん [sage] 2020/01/13(月) 12:07:55 ID:evkq1+YN 同一ドメインの別ポートで公開されているページ上の JavaScript から WebAPI を実行します。 別ポートでホストされるページは第三者のページなので、CSRF が考えられます。 CSRF 対策としてトークンを二重送信する方式を使うことを考えています。 しかし Cookie はポートが異なっているだけでは共有されてしまいます (RFC6265) ので、 1.Cookie で TOKEN_xxxx(ポート番号) を受け取る。(JavaScriptから読み出せないようにするためhttponly) 2.JavaScript は事前に XHR でオリジンから CSRF トークンを受け取る。(レスポンスから取るのは事情があり別読み込み) 3.ホストはプリフライト(OPTIONS)にはエラーを返す。(クロスオリジンでは2のアクセスができなくなるという理解) とすることを考えました。 ホストでは POST リクエストヘッダのトークンと、自ポートに対応した Cookie のトークンを突き合わせます。 WEBセキュリティは経験不足なので、これで良いのか不安です。 http://mevius.5ch.net/test/read.cgi/tech/1573214616/325
メモ帳
(0/65535文字)
上
下
前
次
1-
新
書
関
写
板
覧
索
設
栞
歴
あと 677 レスあります
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
Google検索
Wikipedia
ぬこの手
ぬこTOP
0.019s