2005年04月21日(木) [過去の今日]
俺も試しに何度か踏んでみたのだが、ソース読んでもどうやってクリックしてるのかわかんなかった。JavaScript勉強してないせいかなあ。
CSRFって名前は俺も知らなかったが、確かに言われてみれば当り前って気がする。以前2chにあった「下痢気味」と同様のものだと思い込んでた。認証通して使うサイトなら、こういうことは考えておくべきだよな。認証通すサイトを作ったことがないこともあるが、そこに考えが至らなかったのは恥じておこう。
まあ、refererを見るのはどのみち不確実すぎるので、ワンタイムトークンを埋め込んで置いた方がよさそうだな。
(@132)