HTMLの仕掛け

■画像
HTMLには以下のような画像（imgタグ）が含まれています。

<img src="http://secure.example.com/getCookie.cgi?rid=xxx">

ブラウザはsecureサブドメインのgetCookie.cgiにアクセスします。リクエストには、あらかじめセットされているセッションID Cookieが含まれます。

getCookie.extは1x1ドットの意味の無い画像を返します。

■Ajax
HTMLは、初期状態では意味のあるコンテンツを含んでいません。画面表示コンテンツは、Ajaxで取りに行きます。

Ajaxアクセス先：
http://www.example.com/a.cgi?rid=xxx

サーバは、このAjaxアクセスの前に、画像に正しくリクエストがされている場合だけ、然るべきHTMLコンテンツを返します。返されたHTMLはdocument.write()して画面表示します。

ポイント

• Ajaxでのdocument.write()でXSSが生じても、ドメインが違うためセッションIDは奪われない。
• secureサブドメインは固定の画像しか返さないため、XSSリスクが極めて低い。
• ridはサブセッションIDのような役割を果たし（セッションIDと関連付ける）、secureの画像へのリクエストと、wwwのAjaxリクエストを結びつける。
• ridはワンタイムで予測困難な値にする。

他のページのURLを予測不可能にする

攻撃者が、他のページ（例えば個人情報を表示するページ）のURLを知ることができないようにします。URLが判らなければ、当然XHRなどを用いて個人情報を奪うなどの攻撃はできません。

具体的には、URLに予測不可能なGETパラメータを付加します。

<a href="showUserInfo.cgi?rnonce=xxxx">個人情報照会へ</a>

ただこれだと、攻撃者はXSSを突いて、rnonceを奪うことができます。

ですので、

<a onclick="URLRandomizer.go('showUserInfo');">個人情報照会へ</a>

のようにして、rnonceをURLRandomizerオブジェクト内に隠蔽します。

しかしこれでも、URLRandomizerオブジェクトのコードがHTMLソース内に含まれている場合、innertHTMLなどでrnonceを抜かれる恐れがあります。

そのため、rnonceはAjaxでサーバに取りに行くようにして、ソース内に埋め込まないようにします。また、このAjaxリクエストでは、セッションIDと関連付けられたワンタイムトークンを使用し、攻撃者のAjaxがrnonceを取得できないようにします。

サブサブドメインをスイッチする

これは、「裏に別ウィンドウを起動してメインのウィンドウを見張る」タイプの攻撃への対策です。

単純に、

s01.www.example.com/
s02.www.example.com/
・・・

のようにページ毎にサブサブドメインを変えてやります（apacheではドメイン設定でワイルドカードが使えるので、それを使う）。

ドメインが変わると、裏のウィンドウからメインウィンドウを監視できなくなります。