無料ブログ「rentafree.net」の管理人ブログ

特定条件下を除き、ブログにPOSTリクエストがきた場合405を返すようにしました

ブログへのスパムトラックバック投稿目的と思われるPOSTリクエストが多いので、
特定条件下を除き、ブログにPOSTリクエストがきた場合、"405 Method Not Allowed"を返すようにしました。

ユーザードメインでのPOSTリクエストの受信は本来WIKIの編集ページ以外はありませんので、
WIKIの編集ページをユーザードメインから隔離してユーザードメイン全体でPOSTリクエストを拒否するように変更することも検討しています。

405 Method Not Allowedを実装しようかと

ブログのトラックバック上限設定を初期値で0にしてからスパムトラックバックの被害はほとんど発生していませんが、
相変わらず存在しないアドレスへのトラックバックを試みた不正アクセスが多い(全リクエストの1割ほど)ので、
スパムトラックバック目的と思われるリクエストはPOSTでくるので、
405 Method Not Allowed
を導入して不正アクセス受信時の処理による負荷を軽減しようかと思います。

現在ユーザードメインに対する正規リクエストがPOSTで来る可能性があるのはWikiの編集機能のみなので、
それ以外でPOSTがきたら即エラー返す感じに。

Wikiの編集機能以外で、ブログのメールフォームプラグインと掲示板でもPOSTを利用しますが、この2つは受信用の別ドメインを経由して受け付けるので、
Wikiの編集機能も同じ様に別ドメイン化して、ユーザードメインではPOSTを一切受け付けないようにするかも。

セッション認証の仕様を変更しました

ログイン時のユーザー認証関連の処理簡略化のため、先日SSLページのセッション認証の仕様を変更しクッキーの追加をしましたが、
SSLページ以外の部分も変更しました。

認証関連の仕様変更は完了です。

セッション認証の仕様変更により、セッション認証も含めここ1週間ほどログインされていない方はセッションが無効になっています。
その場合はメールアドレスとパスワードにより再ログインをおねがいします。