[セキュリティ]CSRF - クロスサイトリクエストフォージェリ
http://www.speciii.com/item/303.html
う〜ん。mixiのは危険だと思うけど、Amazonのは危険とは思わないなぁ。仕様っていう部分もありそうだし、買う直前にパスワード入力させたりするし・・・
シングルサインオンを実現していたり、クッキーを使ってオートログインしてたりすると、危険なんだろうなぁ。
結局のところ
- URLがわかってしまう
- パラメータの中身がわかってしまう
- 必要なセッション情報がわかってしまう
ってのが原因だから、わからないような構造をとってしまえばこんなことはいいと思うんだけど。