ช่องโหว่ CSRF เป็นช่องโหว่สำคัญที่เว็บจำนวนมากที่ไม่ได้พัฒนาจาก CMS ดังๆ มักถูกโจมตีได้เรื่อยๆ จาก ล่าสุดกูเกิลกำลังทดสอบและเสนอมาตรฐาน First-Party-Only จำกัดการส่งคุกกี้ในกรณีที่เว็บถูกเรียกจากโดเมนอื่นๆ

ปัญหา CSRF คือ แม้เว็บหนึ่งๆ จะไม่สามารถอ่านข้อมูลจากเว็บอื่นๆ ได้ เช่น ในกรณีที่ผู้ใช้ Blognone ล็อกอิน YouTube อยู่และมีวิดีโอฝังอยู่ในข่าว หน้าเว็บ Blognone ก็ไม่สามารถเขียนสคริปต์เพื่ออ่านข้อมูลของ YouTube อย่างชื่อผู้ใช้ออกมาได้ อย่างไรก็ดีหน้าเว็บ Blognone อาจจะขอแสดง URL โดยที่อ่านค่าไม่ได้ เช่น URL สำหรับลบวิดีโอล่าสุด หากผู้ใช้ล็อกอินทิ้งไว้และเว็บไม่ได้ป้องกัน คำสั่งก็จะมีผลทันที

First-Party-Only จำกัดการใช้งาน โดยระบุว่าหาก URL ถูกเรียกโดยไม่ได้เป็นเว็บหลักของหน้าต่างนั้นๆ (third party context) เช่น ถูกฝังในเว็บอื่นๆ ด้วย iframe แล้ว ค่าคุกกี้จะไม่ได้ถูกส่งไปด้วย การใช้งานแบบหนึ่งคือเมื่อหน้าเว็บถูกฝังอยู่ในเว็บอื่นๆ หน้าเว็บที่ถูกฝังนั้นจะกลายเป็นหน้าเว็บแบบไม่ได้ล็อกอิน ทั้งที่ผู้ใช้ล็อกอินเว็บอยู่

มาตรฐานนี้เพิ่งส่งเข้า IETF เวอร์ชั่นแรกเมื่อปลายปีที่แล้ว และแพตช์ของโครมกำลังอยู่ระหว่างการรีวิว

ที่มา - +François Beaufort