[レシピ296]ファイルアップロードの注意点を知りたい

追加情報

2014/01/30

攻撃者が(XMLHttpRequest Level2を使わずに)ファイル名とファイルの中身の指定してファイルをアップロードさせるCSRF攻撃が、Internet Explorerでは可能という情報が以下の徳丸浩氏のブログにて解説されています。

このような攻撃は、従来(XMLHttpRequest Level2を使わない限り)できないと思われていたもので、対策が漏れている可能性が高いように思われます。

実際のアップロードフォームでは、必要に応じて確実なCSRF対策[レシピ289]が求められます。

2014/01/28

アップロードフォームにもCSRF対策をしておかないと重大な脆弱性になる可能性があります。実際のアップロードフォームには、必要に応じてCSRF対策[レシピ289]を追加してください。

アップロードとCSRF攻撃の可能性については、以下の徳丸浩氏のブログに解説があります。