MT などをはじめとする Cookie ベースの Web アプリケーションで、ログイン状態のセッションを利用して、危険な操作へのリンクや XSS により意図しない操作をさせられてしまう可能性がある、という問題について(長い)。
基本的には Trackback が単純な POST でおくれてしまう 場合とほぼ同様に、Referer が自ドメイン以外の POST リクエストをけってしまえば OK かと。
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} .+
RewriteCond %{HTTP_REFERER} !^http://blog\.bulknews\.net.*
RewriteRule /mt/mt.cgi - [F]
って GET でも削除とかできちゃうんか。これじゃだめだな。 JavaScript だとリファラきかない場合があるし。MT/App/CMS.pm でデータベースに書き込むようなメソッドは POST じゃないと実行しないように手をいれるとかでしょうかね。