今更書いても、もう読んでいないかもしれませんが……。

セッションIDを使う技術屋

との表現から、ウェブサイトの開発に関わる技術者のかたと判断し、その前提で書きます。

僕は開発経験がほとんどありませんし、その他の考察も足りないので、あなたの疑問には答えられません。

ただ、興味深いと思ったのは、お仕事としてウェブサイトに関わっている人と、ウェブサイトの開発の経験がほとんどない僕のような者とでは、やっぱり問題意識というか興味の対象が違うのだなあ、という点です (当然といえば当然ですが)。

僕の興味の対象はセキュリティの問題そのものであって、例えば今回の問題に関連する疑問は次のようになります。

• CSSXSS 問題とはどういう問題であって、どういうセキュリティ上の影響があって、どういう対策ができるのか。
• CSRF 攻撃の本質は何で、対策するには何が必要なのか。
• 今回初めて考えた問題: CSSXSS 問題対策と CSRF 攻撃対策を別々に施せば両方の対策になるのか、それだけでは駄目なのか。

で、今回一番重要なのはこの3番目だと思っているわけです。

それに対し、

CSSXSSとCSRFを分けて考えるべきとかは、現場的な対応ではないかと。

というのは半分頷けます。

上のような疑問に対して、調べたり考えたりして答えを見つけていっても、直接的に開発の現場の役には立たないかもしれません。結局のところ、金床氏の「正しい対策その1」が安全性の面でもそれ以外の面でも満足いくものなら (実際、このストーリーに対するコメントをざっと見たところでは、金床案の安全性に疑問を投げかけている人はいないようです)、「高木案+リクエスト1を POST に」が安全か危険かなんて検討する必要はないわけですし。

(例えばの話、僕がウェブサイトの開発をどこかの会社に依頼したとして、ある問題に対して全面的に満足いく方法があるのに、「それ以外の方法でもいいかどうか」を延々と検討されたら、たぶん怒ります。)

でも、上のような疑問について考えることは、安全な対処法を自分で考えたり、人が提案する対処法の安全性を検討したりするときに役に立つと思います。安全性について、開発の現場で自分で対処法を考えなければならない状況がどの程度あるかはわからないのですが、開発の現場でこういうことを考えることも、何かの役には立つのではないか、と期待するのですが。