リファラーがない場合コマンドを受け付けないようにしようかと・・・
CSRF対策で、
公式サイトのほとんどのコマンドに対して、
リファラーがない場合コマンドを受け付けないようにしようかと考えてます。
リファラーが送信されないブラウザで利用しているユーザーは利用できなくなりますが、
数日分のログを見たところリファラーを送っていないユーザーは一人もいなそう。
リファラー確認以外の対策も考えましたが、
投稿系コマンドはPOSTですが、削除系等はGETだったりしますし、
単純な掲示板と違ってコマンドがたくさんあるからコマンドごとに個別に対策してると穴ができそうなんで、
リファラーで一括制限にします。たぶん。
たぶん今日明日にでも実装する。
公式サイトのほとんどのコマンドに対して、
リファラーがない場合コマンドを受け付けないようにしようかと考えてます。
リファラーが送信されないブラウザで利用しているユーザーは利用できなくなりますが、
数日分のログを見たところリファラーを送っていないユーザーは一人もいなそう。
リファラー確認以外の対策も考えましたが、
投稿系コマンドはPOSTですが、削除系等はGETだったりしますし、
単純な掲示板と違ってコマンドがたくさんあるからコマンドごとに個別に対策してると穴ができそうなんで、
リファラーで一括制限にします。たぶん。
たぶん今日明日にでも実装する。