情報処理安全確保支援士試験 令和5年度 秋期 午後 問1
【出典:情報処理安全確保支援士試験 令和5年度 秋期 午後 問1(一部、加工あり)】
仮に、攻撃者が用意したドメインのサイトに図4と同じスクリプトを含むHTMLを準備し、そのサイトにWebアプリQのログイン済み会員がアクセスしたとしても、Webブラウザの仕組みによって攻撃は成功しない。この仕組みを、40字以内で答えよ:スクリプトから別ドメインのURLに対してcookieが送られない仕組み
問題文の状況においては、WebアプリQの商品レビュー機能でスクリプトが稼働して、cookie情報を含む画像をアップロードしています。
そして、WebアプリQのログイン機能と商品レビュー機能の投稿ページは、いずれもWebアプリQのドメインのサイト(□□□.co.jp)の中で行われます。
一方、設問では攻撃者が用意したサイトとあり、仮にWebアプリQの投稿ページを模倣したHTMLを準備したとして、WebアプリQのログイン機能と、攻撃者の投稿ページではドメインが異なることになります。
この場合、ログインした際にWebアプリQが発行したcookieが別ドメインへのアクセスで使用されることはありません。
これはWebブラウザのセキュリティ機能の一つであるSOP(Same-Origin Policy、同一生成元ポリシー)という、生成元が異なるリソース間でアクセスや操作を制限する仕組みによるものです。