https://qiita.com/HirotoKagotani/items/181052eb85b686783806
なんでGET?
まぁわかる。糞実装すぎる。でも引き継いだ人に言うことではないでしょう。
POSTだと事故る
少なくとも今回のURL補完&直接アクセスの問題は起こらなかった。
規模的にも会社内で使っているだけのシステムだから別にPOSTに直すだけで問題解決する。
たしかにブラウザ機能でPOST再送も可能だけど、一年に一回しか実行しないURLのPOST再送が、登録データが溜まった頃に発生してしまうなんてシチュエーションはどだい考えつかない。一年間も削除完了しましたページのタブを温存し続けるとか?
たまたまそのタブをクリックしてPOST再送しますか?のダイアログに「はい」するの?その発生ケース本気で言ってる?ありえないだろ…
コンテキスト無視して一般論でドヤってんじゃねーよ。一般公開するシステムなら当然POSTにすれば問題解決なんて言語道断だが、システムがなんのためにどこで誰に寄って使われるかぐらい把握しろよ。杓子定規すぎるだろ
会社内でしか動いてないシステムにハッキングもクソもなく、LAN内に入られた時点でうんこセキュリティです。
社内だから適当に作って〜って言われたら、気を抜いちゃうと自分も似たいようなの作ってしまったかもしれない。
全人類が最低限、書き込み処理はPOST(or PUT DELETE)、読み込み系はGET、みたいなのだけでも切り分けておけば、平和になりそうだけど、人類は基本的に愚かなので、悲しい事件は減らないだろうな
CSRFは社外からでも攻撃されるよー。 攻撃フォームを社外のどこかに設置しておき、ログイン状態の管理者にそれを踏ませればOK。 ま、URLとその機能を知っていないと、攻撃フォームを作...
CSRFは社外からでも攻撃されるよ はぁ?どうやって社外から攻撃URLを知ることができるんですかね~? どういう前提で攻撃が発生することを想定しているんですかー?それってあなたの...
わかる 核弾頭発射が二人同時にカギを回すってプロセスになってるのを 二人がグルで野心を抱いたらどうすんのって屁理屈こねるのに似てる
会社に恨みをもっている元(あるいは現)社員