徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

徳丸本p.492に「ログアウト処理では副作用があるのでPOSTメソッドでリクエストする」とありました。

よく分からず、調べたところブラウザにはprefetchという、関連リンクの先読みを行う機能があることが分かりました。

GETリクエストは、ログアウトなど重要な処理はせず、単なる情報の取得などに制限した方が良いのでしょうか?

また、リンクの先読みの無効化を設定している場合は、ログアウト等重要な処理をGETリクエストで実装しても良いのでしょうか?

宜しくお願いします。

2020/11/20 18:06

> GETリクエストは、ログアウトなど重要な処理はせず、単なる情報の取得などに制限した方が良いのでしょうか?

はい。それは本にも書いたとおりです

> リンクの先読みの無効化を設定している場合は、ログアウト等重要な処理をGETリクエストで実装しても良いのでしょうか?

いいえ、先読みの無効化を利用者が設定しているかはサイト運営者には分かりませんし、原則としてPOSTにすべきです。クッキーの新しい属性Samesiteなども、GETは副作用がないことを前提にしています。ウェブ全体が「GETは副作用がない」ということを前提として設計されているのです。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
Internet Explorerのシェアは以前に比べて減っていますが、まだまだ使われているのが実情だと思います。
徳丸本で紹介されているものも含め、IE
でしか機能しないレスポンスヘッダがありますが、webは誰がどんなブラウザで利用するか分からない以上、少しでも利用者の安全に寄与するよう、こういったヘッダも当面の間は設定すべきとお考えでしょうか。
TVニュースで詐欺SMSのurlをクリックしただけで詐欺SMSの発信元として指定されるようになってしまったという被害者へのインタビューがあったのですがそのようなことが可能なのでしょうか。
キャリアに問い合わせたところ、スマホに不審なアプリが2つ入っていた。という経緯のようなのですがurlクリックだけでは不可能な認識でした。
脆弱性診断員です。恥ずかしながら、つい最近になって初めてEC2にサーバを建てました。徳丸先生の「初めてやったみた」ネタがありましたらお聞きしたいです。
Gigazineがさっき公表した脆弱性にCVEは採番されていますか
openVASのインストール方法でわかりやすいページはないでしょうか。