Nasuta<http://www.nasuta.jp/>

2006年05月14日

ワンタイムURLでCSSXSSは防げる?(2)- URLへのマッピング

前回はクエリーストリングでトークンを渡していましたが、トークンをURLに埋め込むにはconfig/routes.rbでURLマッピングを指定します。


ActionController::Routing::Routes.draw do |map|
# The priority is based upon order of creation: first created -> highest priority.

# Sample of regular route:
# map.connect 'products/:id', :controller => 'catalog', :action => 'view'
# Keep in mind you can assign values other than :controller and :action

# Sample of named route:
# map.purchase 'products/:id/purchase', :controller => 'catalog', :action => 'purchase'
# This route can be invoked with purchase_url(:id => product.id)

# You can have the root of your site routed by hooking up ''
# -- just remember to delete public/index.html.
# map.connect '', :controller => "welcome"

# Allow downloading Web Service WSDL as a file with an extension
# instead of a file named 'wsdl'
map.connect ':controller/service.wsdl', :action => 'wsdl'

# Install the default route as the lowest priority.
map.connect ':controller/:action/:id'
map.connect ':controller/:action/ot/:token'

end


あいだに"/ot/"が挿入してありますが、これが無いと最後が:idなのか:tokenなのかが判断が付かなくなるからです。

これで、http://localhost/user/welcome/ot/aad2107a962b1d7a5f3d29dde27c5517
のようにURLにトークンが埋め込まれるようになります。
posted by ふんじ at 15:09| Comment(0) | TrackBack(0) | 不正アクセス対策 | このブログの読者になる | 更新情報をチェックする

2006年05月13日

ワンタイムURLでCSSXSSは防げる?(1)

前にも書きましたが、ネット上ではCSRFとCSSXSSは絡み合って議論されており難しくてよく分かりません。

結局ワンタイムURLを導入すれば大方は解決するんじゃないかとおもうんですがどうでしょう?ということでざっくり作ってみました。

RoRはリクエストのルーティングという機能があってURLのマッピングルールを簡単にカスタマイズできます。

ワンタイムURLを導入するのは比較的簡単だと思います。続きを読む
posted by ふんじ at 17:57| Comment(0) | TrackBack(0) | 不正アクセス対策 | このブログの読者になる | 更新情報をチェックする

2006年05月02日

セキュリティ対策の調査

  •  SQLインジェクション
  •  セッション固定攻撃(Session Fixation)
  •  セッションハイジャック
  •  XSS
  •  CSSXSS
  •  CSRF


ネットセキュリティに関して調査を開始しました。

これらのキーワードでググればいろいろ出てきますが、どうも今ひとつ分かりません。
特にCSSXSSが良く分からない。(いや理屈は分かりますよ。。)

続きを読む
posted by ふんじ at 23:46| Comment(0) | TrackBack(0) | 不正アクセス対策 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。