WEBサイトの製作、管理、とかの日記ブログです。

<<   2018年09月   >>
SunMonTueWedThuFriSat
      1
2345678
9101112131415
16171819202122
23242526272829
30      
新着記事
カテゴリ
過去ログ
コメント
検索
window.top のlocationを変更した場合のリファラー
frameやiframeで子フレームから親フレームをリダイレクトさせた場合のリファラーって子フレームのURLになるよね?

って思ってたが、自分のサイトでcontenteditableでユーザーがHTML入力できる箇所があって、
scriptの駆動は基本的にはできなくしてあるのだが、先日iframe経由でscriptを駆動させることができることに気づいた。
子フレームから親フレームをリダイレクトさせた場合のリファラーが親フレームのURLになるようだとCSRF的に危険性があるんで、認識が間違いないか実験してみた。

当初の認識どおり、子フレームから親フレームをリダイレクトさせた場合のリファラーは子フレームのURLになった。
Firefox Chromium Edgeで確認。

frameじゃなくてウインドウ(タブ)を開いてwindow.openerをリダイレクトした場合も確認してみたが、
その場合もscriptが実行される方のURLがリファラーになった。

というわけで、リファラー判別でのCSRF対策で問題が生じることは無さそう。

この記事へのコメント
名前:
URL
コメント:
この記事へのトラックバック :
whblog 1.7