CSRF対策でメモ。

RequestPolicy :: Add-ons for Firefox

クロスサイトリクエストを制御し，ブラウジングのプライバシーを改善します．クロスサイトリクエストフォージェリ(CSRF)などの攻撃から保護します．

高木浩光＠自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした

YouTubeなどを埋め込んだページや、はてなブックマークの「○○ users」の画像なども、デフォルトでは全てのサイトでブロックされてしまうが、ステータスバーのメニューから「Allow requests to hatena.ne.jp」を選ぶことで、信用性の高い（はずの）サイトについて全サイトからの参照を許可してしまえば、その後はそのまま使うことができる。これを必要とするサイトは、そう多くはない。
一方、「Allow requests from example.jp」は滅多に使わない方がよい。これを許可してしまうと、そのサイトが改竄されたときに対策がパアになる。面倒でも、個別に「Allow requests from example.jp to example.com」でひとつひとつ許可して使う。そうすれば、攻撃者がexample.jpを改竄したとしても、example.comも同時に改竄しない限りこの対策はパアにならない。