ooooooo_qの日記

脆弱性の話とか

2017-12-03から1日間の記事一覧

XSSがある場合のCSRF対策としてクリックジャッキングを使う(没)案

最近話題になっているクロスサイトリクエストフォージェリの話を。 CSRF対策はXSSがある場合には効果的ではないと言われます。javascriptが実行できればhtml中のtokenもとれますし、リクエストも自由に送信できるので対策を回避できるためですね。 XSSがあっ…