Skip to content

CSRFのページを追加 #36

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Open
wants to merge 10 commits into
base: main
Choose a base branch
from
Open

CSRFのページを追加 #36

wants to merge 10 commits into from

Conversation

@KotatuBot
Copy link

@KotatuBot KotatuBot commented May 12, 2025

一旦、今できている分でPushさせていただいています。
後程修正を行う可能性はあります。

@ibukit ibukit self-requested a review May 20, 2025 10:35
@gorillanet
Copy link
Contributor

gorillanet commented Jun 17, 2025

@KotatuBot 以下のように ファイルの冒頭に Hugoのメタデータの追加をお願いします!

---
title: CSRF
weight: 999

---

ibukit
ibukit reviewed Jun 17, 2025
View reviewed changes
Copy link

@ibukit ibukit left a comment
edited
Loading

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

影響

影響

SameSite属性の挙動比較 などでもよさそうです。

各種ブラウザの挙動におけるSameSite属性の挙動ついて整理していきます。

・SameSite属性の挙動ついて→「に」が抜けていそうです。
・挙動というワードが連続しているので、
「各ブラウザにおけるSameSite属性の挙動ついて整理していきます。」などでもよさそうです。

Google Chrome

ただし、ChromeやEdgeにおいては、デフォルトの挙動で注意が必要な点があります。〜

・Chromeの項目の中で、まだ紹介していないEdgeの話題が出てくることに少し違和感があったので、
Edgeの項目のあとに補足の項目をつくり、そこに2分間ルールについての記述は切り出してまとめるでもよさそうです。(ChromeとEdgeで2分間ルールの話題が繰り返しでているので、スッキリしそうというのもあります)

それは、Cookieが生成されてから2分間はクロスサイトでCookieが送信される2分間ルールが存在する点です。あります。

・あります。の削除(typoだと思いますが)
・少し意味を誤読しそうに思ったため、以下のように少し詳しく表現するのはどうでしょうか?
 SameSite属性が未指定の場合に限り、発行から2分間はクロスサイトリクエストでもCookieが送信される2分間ルールが存在します。

送信されるようになっているようです

・「されるようです」がシンプルで読みやすそうです。 

Firefox

実際に2024年のバージョン(129.0.1)においてもSameSite属性を指定しない場合にはNoneが設定されています。そのため、デフォルトだとCookieを送信してしまいます。

・以下のようにまとめるのもよさそうです。
 「実際に2024年のバージョン(129.0.1)においてもSameSite属性を指定しない場合にはNoneが設定されており、クロスサイトリクエストでもCookieが送信される可能性があります。」

Safari

SafariではSameSite属性はデフォルトの設定では「-」と表示され、Noneとなります。

・色々調べていたんですが、厳密にはSameSite属性未指定時には、デフォルトでNone相当として扱われるという認識ですかね・・・?
https://zenn.dev/shoan/articles/1d929251bd9375#%E5%90%84%E3%83%96%E3%83%A9%E3%82%A6%E3%82%B6%E3%81%AE%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E5%80%A4
・現状だと、Noneに設定されるとも読めそうなので「開発者ツール上では「-」と表示され、None相当として扱われます。」とかでもよさそうですかね。

ブラウザの設定のプライバシーからWebサイトによるトラッキングを無効にする必要があります。

・「Safariのプライバシー設定でWebサイトによるトラッキングを無効にする必要があります。」などでもよさそうです。

この機能によりSafariではNoneを設定した場合にはCookieが送信されないようになっています。

・SameSite属性が未指定の場合もこの対象であれば、
 「SameSite属性が未設定、またはNoneを設定した場合にはCookieが送信されないようになっています。」でもよさそうに思いました。

Cookieを送信してしまいます

・Cookieが送信されます でも良さそうに思います。

診断観点

しかし、SameSite属性はブラウザの意向やユーザの設定変更により動作が変わります。

・「ブラウザの仕様変更やユーザーの設定」という表現も良さそうに思いました。

1は、SameSite属性を指定しない場合、ユーザが利用するブラウザによりデフォルトの挙動に依存します。
ユーザのブラウザの種類やバージョンや設定をコンテンツ提供者側が制御することはできません。

・以下のようにまとめてしまっても良さそうです。
 「SameSite属性を指定しない場合、その挙動は利用者のブラウザの種類やバージョン、設定に依存し、
コンテンツ提供側で制御することはできません。」

対策

デフォルトのブラウザの挙動によりCSRFから守られるケースはあるが、

・ありますが、 が良さそうに思います。

なので、

・そのため、 が良さそうに思います。

[その他]
・Chrome
Google ChromeとChromeという表現があるので、統一したほうがよさそうです。

・サードパーティCookieとCookieは統一したほうが良さそうですが、意図的に分けているのであれば、スルーでお願いします!

・「FireFox」「MicroSoft Edge」となっている部分があるため、Firefox、Microsoft Edgeとするのがよさそうです。

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

@ibukit ibukit ibukit left review comments

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

4 participants

@KotatuBot @gorillanet @ibukit