徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

徳丸本p.492に「ログアウト処理では副作用があるのでPOSTメソッドでリクエストする」とありました。

よく分からず、調べたところブラウザにはprefetchという、関連リンクの先読みを行う機能があることが分かりました。

GETリクエストは、ログアウトなど重要な処理はせず、単なる情報の取得などに制限した方が良いのでしょうか?

また、リンクの先読みの無効化を設定している場合は、ログアウト等重要な処理をGETリクエストで実装しても良いのでしょうか?

宜しくお願いします。

2020/11/20 18:06

> GETリクエストは、ログアウトなど重要な処理はせず、単なる情報の取得などに制限した方が良いのでしょうか?

はい。それは本にも書いたとおりです

> リンクの先読みの無効化を設定している場合は、ログアウト等重要な処理をGETリクエストで実装しても良いのでしょうか?

いいえ、先読みの無効化を利用者が設定しているかはサイト運営者には分かりませんし、原則としてPOSTにすべきです。クッキーの新しい属性Samesiteなども、GETは副作用がないことを前提にしています。ウェブ全体が「GETは副作用がない」ということを前提として設計されているのです。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
basic認証について再び質問します。

パソコンからbasic認証を求められる際に、IDとPWが空白のままエンターキーを押して普段通り見れた場合(401エラー表示無し)でも、
不正アクセスなのでしょうか?

適当に入力していたのなら話は違いますが、どうなのでしょうか?

その場面にたまたま出会いますので、心配です。
ホームページで何度もBasic認証を求められるサイトがありました。
PW、IDを空白のままキャンセルを押しても通常通り閲覧出来るものもありましたが、
これは何かしらのバグでしょうか?

PW、IDを空白のまま誤ってログインをクリックして
何事も無かったように閲覧出来た場合、利用者に責任は生じますか?
味わい深いサイトはどのように見つけているのでしょうか
徳丸さんのところにも迷惑メールが日々届くと思いますが、何か特別な対策はされていますでしょうか。

また不謹慎かもしれませんが、届いた迷惑メールの中で印象に残っている迷惑メールはありますでしょうか。
同じ時期に入ったスクール生がセキュリティーに無関心で心配です。僕が脆弱性を指摘しても直しませんでした。

こういう人の意識を変えていくにはどうしたらいいのでしょうか。その人が一人でコードに携わるようになったら、それが一番の脆弱性だなと思っています。