XSSとCSRFの簡単な説明について取りざたされているようです
なんといいますか、火元や、火がついたところを拝見しましたがやはりピンときません。
私はそもそもCSRFとセッションライディングとの差異をわかっていないフシがあります。なのでだいそれたことがいえないのですけれど。
んなので、現象面でXSSについてかねてよりの持論をちょいと。XSSは、ブラウザ上で、ブラウザが閲覧者に提示するDOMの構造に対する破壊をアタッカーが試みる手法と考えています。別の言い方をすればサーバ側で意図しているシンタックスな構造の提供の破壊をもって、セマンティックな意味を破壊者側の都合の良いように偽造するものです。禅問答ですか?押さえておきたいのですが、サーバ側に脆弱性があってもブラウザ側に脆弱性があってもXSSは成立しうります。
以下は上とは無関係な派生。
※ブラウザにXSS誘発の脆弱性があると本当に脅威です。過去にもあったように・・・どういうわけかサーバ側の脆弱性のほうが優先的に取り上げられるようですけれどね。
※セマンティックなレベルでの破壊だけでも結構なコトガデキテシマウノガ・・・インターネット社会の不安な部分ではあります。
※NHKのパソコン教室の番組を昨日みましたが、フリーソフトのダウンロードの仕方を間違って説明していました。なんでもかんでもOKボタンを押させている。恐るべし。