米Mozillaは、同社が開発するWebブラウザ「Firefox 90」において、メタデータ要求ヘッダのフェッチをサポートすることを、7月12日(現地時間)に発表した。メタデータ要求ヘッダのフェッチがサポートされることで、CSRFなどさまざまなクロスサイト攻撃を防止できる。
HTTPリクエストヘッダSec-Fetch-Siteを使用することによって、Webアプリケーションサーバが対応するWebアプリケーションからの同一生成元リクエストと攻撃者が制御するWebサイトからのクロスオリジンリクエストを区別可能になる。
Sec-Fetch-*ヘッダを検査すると、Sec-Fetch-*ヘッダファミリーから提供される追加のコンテキストによって、Webアプリケーションサーバが悪意のある要求を拒否または無視できるようになり、Webアプリケーションがクロスサイト攻撃からアプリケーション自身とエンドユーザーを保護する。
なお、Firefoxにはクロスサイト攻撃の脅威に対処するために、サイト分離セキュリティアーキテクチャがまもなく搭載されるが、Webアプリケーションにはあらゆる種類のアプリケーションに多層防御メカニズムを提供する、メタデータ要求ヘッダのフェッチの使用を求めている。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
