CodeZine(コードジン)

特集ページ一覧

Firefox 90、メタデータ要求ヘッダのフェッチをサポート

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2021/07/14 11:00

 米Mozillaは、同社が開発するWebブラウザ「Firefox 90」において、メタデータ要求ヘッダのフェッチをサポートすることを、7月12日(現地時間)に発表した。メタデータ要求ヘッダのフェッチがサポートされることで、CSRFなどさまざまなクロスサイト攻撃を防止できる。

 HTTPリクエストヘッダSec-Fetch-Siteを使用することによって、Webアプリケーションサーバが対応するWebアプリケーションからの同一生成元リクエストと攻撃者が制御するWebサイトからのクロスオリジンリクエストを区別可能になる。

 Sec-Fetch-*ヘッダを検査すると、Sec-Fetch-*ヘッダファミリーから提供される追加のコンテキストによって、Webアプリケーションサーバが悪意のある要求を拒否または無視できるようになり、Webアプリケーションがクロスサイト攻撃からアプリケーション自身とエンドユーザーを保護する。

 なお、Firefoxにはクロスサイト攻撃の脅威に対処するために、サイト分離セキュリティアーキテクチャがまもなく搭載されるが、Webアプリケーションにはあらゆる種類のアプリケーションに多層防御メカニズムを提供する、メタデータ要求ヘッダのフェッチの使用を求めている。

関連リンク

  • LINEで送る
  • このエントリーをはてなブックマークに追加

あなたにオススメ

All contents copyright © 2005-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5