« GETのバイト数の制限 | メイン | SocketAM2+ でいいんでわ? »

Strutsの同期トークン

二重送信を防いでくれる同期トークン。いろいろ議論はあるがCSRF対策にもなるだろう。

お手軽にできるのだが、タブブラウザ全盛時代には使用上の注意がある。

同期トークンの仕組みはHIDDENの値とセッションの値が同一であることを比較する。
つまりセッションに入った値が空もしくは別のトークンであればエラーとなる。

ここに問題があり、同一セッションを持つブラウザで別のトークンを発行した時点で、以前発行されたトークンはセッションから追い出されて処理が継続できない。

これが作られた時点ではあまり問題にならなかったのだろうけど、今はタブブラウザ全盛だからな。

改良の余地あり。

トラックバック

このエントリーのトラックバックURL:
http://rutake.ddo.jp/blog/mt-tb.cgi/251

コメントを投稿

(いままで、ここでコメントしたことがないときは、コメントを表示する前にこのブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)

About

2009年02月19日 19:34に投稿されたエントリーのページです。

ひとつ前の投稿は「GETのバイト数の制限」です。

次の投稿は「SocketAM2+ でいいんでわ?」です。

他にも多くのエントリーがあります。メインページアーカイブページも見てください。