WordPressで考えるSameSite=Laxの限界|Cookie更新でCSRFが成立する理由
CSRF対策として「SameSiteを設定しているから安全」と考えていないでしょうか。 SameSite=Laxは、クロスサイトのPOSTリクエストに対してCookieを送らないことで、CSRFを防ぐ仕組みです。 しかし … 続きを読む
SameSite
WordPressで考えるSameSite Strictの落とし穴|サブドメイン経由でCSRFが成立する理由
SameSite属性を設定しているから、CSRF対策は万全。そう考えていませんか。 確かにSameSiteは有効な防御手段ですが、サイトの構成によっては簡単に回避されるケースがあります。 この記事では、Web Secur … 続きを読む
WordPressで考えるSameSite回避|クライアント側リダイレクトでCSRFが成立する理由
CSRF対策として「SameSite属性を設定しているから安全」と考えていませんか。 確かに SameSite=Strict は強力な防御ですが、実装によっては回避されるケースがあります。 この記事では、Web Secu … 続きを読む
WordPressで考えるSameSite Laxの落とし穴|GETに見せかけてPOSTとして処理されるCSRF
CSRF対策としてSameSite Cookieを利用しているサイトは多いですが、実装によっては防御を簡単に回避されるケースがあります。 この記事では、Web Security Academyのラボ「SameSite L … 続きを読む