コレって実はワンタイムトークンじゃ不十分なんじゃねえのかって思った。だって Ajax リクエストでワンタイムトークンを発行するページを取得して、その HTML を解析すればワンタイムトークンを取得出来るからさ。その後に javascript で取得したワンタイムトークンを使って submit すれば良いだけの話。
だから根本治療が不可能なんじゃねえの XSRF って。永続 Cookie のセッションを止めて一時 Cookie のセッションにしたとしても、それでも尚変なユーザが一時セッションが動いているブラウザのアドレス入力テキストボックスに URI をコピペしてエンターする可能性はあるからねえ…。でもまあそれは変なユーザの話だから、一時 Cookie セッションにする事によって殆ど防げるって事で十分だと思うんだけどさ。
と思ったけどフェイザー対策とかで使われてる画像数字って手があったか…。アレって XSRF 対策でもあったのかあ。俺も未だ未だだなあ…。
あー Referer チェックでも良い気がするぞ。XSRF 対策。javascript で Referer を弄る事は出来なかった気がするし。Active X でも出来無さそう。いや Active X は出来て当たり前だな…。socket から全部書けばやり放題だよな。って事はやっぱり画像数字しか無いのか…。パスワードでも良い事を教えて貰った。確かに…。