HOME»応用情報技術者試験掲示板»前回の午後問題で出てきたんですが・・・
投稿する
クロスサイトリクエストフォージェリ(CSRF)は、会員制サイトなどのログインやセッション管理を伴うWebアプリケーションの不備をつく攻撃手法で、会員がログイン状態であるときに会員情報の変更や商品の注文画面への直接リンクを踏ませる(またはスクリプトでリダイレクトする)ことで意図しない不正な処理要求を行わせる行為をいいます。
GET,POSTというのはWebブラウザからサーバにパラメタを受け渡す方式です。
GETメソッドは、 ○○.php?mode=new&uid=34632847 というようにURLの後ろにパラメタを付加して送信する方式、POSTメソッドは、パラメタをメッセージボディにセットしサーバに渡す方式です。
この問題ではサーバへの入力データを送信するのにGETメソッドを使用すると、URLから秘密情報を読みとられたり改ざんされたりという可能性が高くなるのでPOSTメソッドを使用すべきという説明文になっています。
またhtmlではユーザからの入力データをformタグを用いてサーバに送信することができますが、formタグは明示しない限りGETメソッドで送信してしまうのでformタグに適切な属性値を設定する必要があります。
このページのHTMLソースをご覧になっていただければ、この掲示板のformタグもmethod="POST"と明示的にPOSTメソッドを指定していることが確認できるかと思います。
前回の午後問題で出てきたんですが・・・ [0070]
南さん(No.1)
前回の午後問題のセキュリティの問題で出てきた
クロスサイトリクエストフォージェリーというのがよくわからないのですが・・・
なぜ解答がこうなるかも全く分からなかったです
あと、これも問題にあったんですが
GET,POSTというのは何のことなんでしょうか?
クロスサイトリクエストフォージェリーというのがよくわからないのですが・・・
なぜ解答がこうなるかも全く分からなかったです
あと、これも問題にあったんですが
GET,POSTというのは何のことなんでしょうか?
2012.03.27 17:38
管理人(No.2)
>クロスサイトリクエストフォージェリーというのがよくわからないのですが・・・
クロスサイトリクエストフォージェリ(CSRF)は、会員制サイトなどのログインやセッション管理を伴うWebアプリケーションの不備をつく攻撃手法で、会員がログイン状態であるときに会員情報の変更や商品の注文画面への直接リンクを踏ませる(またはスクリプトでリダイレクトする)ことで意図しない不正な処理要求を行わせる行為をいいます。
>GET,POSTというのは何のことなんでしょうか?
GET,POSTというのはWebブラウザからサーバにパラメタを受け渡す方式です。
GETメソッドは、 ○○.php?mode=new&uid=34632847 というようにURLの後ろにパラメタを付加して送信する方式、POSTメソッドは、パラメタをメッセージボディにセットしサーバに渡す方式です。
この問題ではサーバへの入力データを送信するのにGETメソッドを使用すると、URLから秘密情報を読みとられたり改ざんされたりという可能性が高くなるのでPOSTメソッドを使用すべきという説明文になっています。
またhtmlではユーザからの入力データをformタグを用いてサーバに送信することができますが、formタグは明示しない限りGETメソッドで送信してしまうのでformタグに適切な属性値を設定する必要があります。
このページのHTMLソースをご覧になっていただければ、この掲示板のformタグもmethod="POST"と明示的にPOSTメソッドを指定していることが確認できるかと思います。
2012.03.27 22:30