ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
これは、「backurl」に信頼されていない任意のURL(はてな以外のサイト)を指定できてしまうことが誤りであり、はてなのこの仕組みの方を修正するべきであると考えた。
高木浩光@自宅の日記
気をつけないと。
これは、「backurl」に信頼されていない任意のURL(はてな以外のサイト)を指定できてしまうことが誤りであり、はてなのこの仕組みの方を修正するべきであると考えた。
高木浩光@自宅の日記
気をつけないと。