Laravel - @csrf

引き続き、Laravelの本から3章のビューとテンプレートに取り組んでいます。 Bladeを使い始めるところまで進みました。

その中で知ったこととして、フォームの中に@csrfと書いておくと、 クロスサイトリクエストフォージェリ攻撃への対策に なるようです。

ということは、@xssと書くとクロスサイトスクリプティング攻撃 への対策になるのかと安直に考えましたが、別の書き方が必要な ようです。ただ、それはBladeの機能なので出力時の 対策です。入力時に対策するには、別の方法が必要なようです。

そういえば、20年ほど前にWebアプリを作った時には csrfxssも知らなくて、今から思えば 脆弱性ありまくりのアプリを作ったなあ、 ということを思い出しました。