[PHP-users 23889] Re: 別ページのアイフレーム内での動作について
Ryosuke Hosoi
hosoi @ ryo.com
2004年 12月 12日 (日) 17:55:06 JST
ほそいです
From: YOSHIMURA Keitaro <ramsy @ ramix.jp>
Subject: [PHP-users 23885] Re: 別ページのアイフレーム内での動作について
Date: Sun, 12 Dec 2004 17:03:08 +0900
Message-ID: <20041212165721.70F3.RAMSY @ ramix.jp>
> そこに新たな悪役を登場させましょう。ユーザが実際に開き、セッションが有効
> な状態で悪役の用意した sagi.example.net を踏まされたとします。
>
> sagi.example.net
> ↓ 勝手な注文内容を突っ込んでいき、発注処理まで一連動作で行う
> sub.example.com
> 注文書の文法的には正しいものなので実際に発注処理
>
> という事ができるから、cross doamin のframeやiframe間でセッション維持をし
> てはあかんのです。
これ、変ですよ
sagi.example.netに悪意があるとしても、sub.example.comに入って
からの発注処理はユーザーが行うわけですし、これがダメならAWS3.0
のショッピングカートを使ってるサイトはすべてダメでamazonもダメ
ということになるかと。
もちろん悪意あるリンク行為は行えるでしょうが、それはどのサイト
に対しても行えることと同じですよ。
--
Ryosuke Hosoi / 細井 良祐
mailto:hosoi @ ryo.com http://www.ryo.com/
PGP Public Key http://www.ryo.com/ryo/hosoi.ryo.com.asc
fingerprint = 4F39 61B0 2034 3A5C DFE8 FBCB 7B99 90CF EBE1 A3F3
PHP-users メーリングリストの案内