[Seasar-user:17586] Re: S2Flex2 を使用した場合のCSRFが起こる可能性について

jun funakura [E-MAIL ADDRESS DELETED]
2009年 6月 2日 (火) 12:01:40 JST


ふなくら(nod)です。

> この機能を使用した場合CSRFの脆弱性はありますか?

S2Flex2は、Flexアプリケーションからサーバ側のコンポーネントを呼び出して実行し、ActionScriptのクラスに
マッピングして返すというシンプルなGatewayとなっております。

呼び出しできるコンポーネントはRemoteServiceのメタデータがあるものと言う制限はありますが
それ以外は特に制限を設けているわけではありません。
実際にCSRF( Cross Site Request Forgeriesのことですよね?)の脆弱性があるかどうかは
アプリケーションの作り方によると思います。

たとえば呼び出される順番の制御や、権限チェックなどが必要といったサービスであれば
FilterやAOPをかけるなど別途要件にあわせて実装していく形になると思います。

--
ふなくら

2009/05/29 16:20  <[E-MAIL ADDRESS DELETED]>:
>
> 柏山と申します。
>
> S2Flex2を使用してシステムを構築していますが、
> この機能を使用した場合CSRFの脆弱性はありますか?
>
> お手数ですが、ご回答よろしくお願いいたします。
> _______________________________________________
> Seasar-user mailing list
> [E-MAIL ADDRESS DELETED]
> https://ml.seasar.org/mailman/listinfo/seasar-user
>
>


Seasar-user メーリングリストの案内