GETリクエストでp_authトークンが見つからない
knowledge-article-header-disclaimer-how-to
knowledge-article-header-disclaimer
legacy-article
learn-legacy-article-disclaimer-text
問題
-
CSRFトークンを有効にした後、
p_auth トークンが、期待どおりにURLに付加される。
- しかし、手動でURLの末尾からこれを削除してエンターキーを押すと、
p_auth がリクエストから消えているにもかかわらず、ページにアクセスできることに気づいた。
- これはCSRF保護が危ういことを意味するのか?
解像度
- いいえ、CSRF保護は損なわれていません。
-
p_auth トークンは、POST リクエストに対する CSRF 攻撃を防ぐためのものです。
-
GETもPOSTもCSRFの脆弱性を持つ可能性があるが、 RFC 9110 では、GETメソッドは検索以外のアクションを取るという意味を持つべきでないと述べている。 これらの方法は "安全 "だと考えるべきだ。 したがって、ウェブサイトが標準を守り、「安全でない」アクションをPOSTとしてのみ実装している場合、ここではPOSTリクエストのみが脆弱となる。
did-this-article-resolve-your-issue
