ノーマルビュー

Received — 2026年3月27日 Qiita - 人気の記事

【悲劇】「CookieをHttpOnlyにしたからXSSされても安全」という最大の誤解。読めないだけで「操作」されて詰んだ

✇Qiita - 人気の記事
著者: fe1ix
2026年3月27日 08:53
はじめに:SessionIDを守り切ったはずの男 ユーザーのログイン状態を管理する「セッションID」。 これをCookieに保存する際、セキュリティ意識の高い(つもりの)私は、迷わず一つの属性を付与しました。 Set-Cookie: session_id=abc12345...

「CSRFトークン付けたから完璧」とドヤ顔してた俺、XSS一発で全てをひっくり返された話

✇Qiita - 人気の記事
著者: fe1ix
2026年3月26日 08:28
はじめに:城壁だけを高くした愚か者 Webセキュリティの勉強を始めた私は、「CSRF(クロスサイト・リクエスト・フォージェリ)」という凄まじい攻撃手法を知りました。(葬送のフリーレンにありそうな魔法みたい、、かっけーーー) ユーザーがログイン状態のまま悪意のある別サイトを...
❌