本-安全なWebアプリケーションの作り方

P57 hiddenパラメータのメリット

hidden利用者自身からの書き換えはできるが、情報漏えいや第三者からの書き換えに対しては堅牢であること。 このため、利用者自身によっても書き換えられては困る認証や認可ではセッション変数に保持すべきであるが 、それ以外の情報はまずはhidden情報に保…

P53 GETとPOSTの使い分け

HTTP1.1を定義しているRFC7231の4章および9章には、メソッドの使い分けに関する注意ガイドラインは以下となっている。 ・GETメソッドは参照のみに用いる ・GETメソッドは副作用がないことを期待される ・秘密情報の送信にはPOSTメソッドを用いること秘密情報…