トップ 差分 一覧 ソース 検索 ヘルプ PDF RSS ログイン

ie8

参考サイト

IE8 セキュリティー パート VII: クリックジャッキングを防ぐ / MSDN

最善に設計された Web アプリケーションでは、被害者のユーザーが意図的に送信したのではない不正なリクエストを識別できるチャレンジ トークン (英語) やそれに類似した手法を使い、自身を保護しています。

残念ながら、チャレンジ トークンやそれに類似した手法は脆弱性に陥りやすいのです。第一の脆弱性はクロス サイト スクリプティング (英語)(XSS) です。トークンで保護された Web アプリケーションにクロス サイト スクリプティングの脆弱性があると、セキュリティー トークンが盗まれ CSRF 攻撃が可能になります。

機微情報を扱うアンチ CSRF のページを保護するためにX-FRAME-OPTIONS 指示子を使う事で、Web 開発者は IE 8 のユーザーへの web アプリケーションを通じた攻撃をただちに軽減する事ができます。