はてなブックマーク - Kazuho@Cybozu Labs: 安全な JSON, 危険な JSON (Cross-site Including?)

Kazuho@Cybozu Labs: 安全な JSON, 危険な JSON (Cross-site Including?)

labs.cybozu.co.jp

タグ : JSON javascript security セキュリティ ajax Web jsonp js xss web開発

コンピュータ・IT 82 users

« クロスサイトのセキュリティモデル | メイン | E4X-XSS 脆弱性について » 2007年01月06日安全な JSON, 危険な JSON (Cross-site Including?) 先のエントリで、 JSON については、JavaScript として副作用をもたない (もたせようがない) ゆえに文法違反であるがゆえに、秘密情報を含むデータフォーマットとして使用することができるのです。 (Kazuho@Cybozu Labs: クロスサイトのセキュリティモデル) と書いたのですが、認識が甘... > このページを見る

最終更新時間: 2007年01月06日12時01分

▼ブログで紹介する

みんなのブックマーク人気（0）新着

ono_matope JSON, security
POSTメソッド＋オブジェクト返却で良さそう。情報取得なのにPOSTってREST的に気持ち悪いけど仕方ないか 2010/01/02
webmarksjp JSON, セキュリティ, javascript, Ajax
security 2008/07/13
shinichitomita json, script, crossdomain, google
配列は危険 2007/01/24
nilab json, security
Kazuho@Cybozu Labs: 安全な JSON, 危険な JSON (Cross-site Including?) 2007/01/13
koyhoge json, security, javascript
既存のオブジェクトを何でもいじれるので危険 2007/01/12
the-day ajax, javascript, security
JSON 2007/01/12
silver_arrow Json, Web, Security, WebServices
メモ。 2007/01/11
tiga ajax, javascript, json, security
むむっ！？ 2007/01/08
nihen json, security
「Ajax で返す秘密情報については、GET メソッドでのアクセスを拒否し、POST メソッドのみ許可するように設定すべきだろう」なるほど。 2007/01/07
reima セキュリティ, JavaScript
「この種の攻撃 (Cross Site Including とでも呼ぶべき?) を未然に防ぐために、Ajax で返す秘密情報については、GET メソッドでのアクセスを拒否し、POST メソッドのみ許可するように設定すべきだろう、と思いました。」 2007/01/07
miya2000 javascript, json, security
FFだけみたいだけど脆弱性か仕様か。/文法勘違いしてた。javascript:{a:'a'}は○でjavascript:{'a':'a'}(JSON)は×。ちなみにjavascript:var a={'a':'a'}は○。/結局秘密情報はPOST限定(CSSXSSと同じ)でいいのか。 2007/01/07
hiro_y security, json
「JSON データが配列として返される場合は、サイトをまたいで参照できる」 2007/01/07
akiyan js, JSON
ぎゃーこれは怖い。ってか応用きかせていろいろできたりしそうなんだけど。JSONじゃなくても普通にスクリプトで...。 2007/01/07
terazzo javascript
{}に[]が入っててもダメ？JSON送り出し専用ホストにするしか。 2007/01/06
youpy
配列の初期化演算子 [] の動作を外部から変更することができる 2007/01/06
secondlife javascript, json, security
Array 書き換えるのかー 2007/01/06