セッションIDをそのまま使うのは良くないのだろうけど、CSSXSSを使われるとハッシュ化したのをキーに使っても CSRF対策は意味なくなりますね。

書かれているとおりCSSXSSとCSRF対策を同時にするには、POSTしてキー生成するかCookie使うしかないのかな。前者はPOSTさせるのが微妙に嫌だったり、後者はJava Scriptオフにしてると動かなかったりと何かを立てると何かを犠牲する必要があって困ったもんですね。後者の場合は、ページ単位に別のワンタイムパスワード持つのが数が増えるとキツくなるのでタブブラウザでのユーザビリティ低下の問題が発生するし。

とりあえず、IEのCSSXSS問題は直して欲しいな。それでも将来的にはダメって話もあるけど、とりあえず現時点ではIEが直ればマシになる。

| Bookmark: