はてなブックマーク - Kazuho@Cybozu Labs: クロスサイトのセキュリティモデル

Kazuho@Cybozu Labs: クロスサイトのセキュリティモデル

labs.cybozu.co.jp

タグ : security JavaScript ajax セキュリティ json xss css Web XMLHttpRequest crossdomain

コンピュータ・IT 103 users

« Japanize - IE 系の User JavaScript エンジンに対応しました | メイン | 安全な JSON, 危険な JSON (Cross-site Including?) » 2007年01月04日クロスサイトのセキュリティモデルあけましておめでとうございます。昨年、社内で「XMLHttpRequest は何故クロスサイトで使えないのか。画像や SCRIPT タグは使えるのに」という疑問 (というより試問) を耳にしました。おもしろい話なのでブログネタにしようと思っていたので... > このページを見る

最終更新時間: 2007年01月04日12時35分

▼ブログで紹介する

みんなのブックマーク人気（0）新着

takami_hiroki セキュリティ, JSON, http, javascript
XMLHttpRequest ではサーバの任意のデータをスクリプトで処理できるので、クロスサイトのアクセス制限が必要である。 2010/10/27
webmarksjp セキュリティ, javascript, security, interesting, knowhow
ajax 2008/07/13
GegegeMokeke JavaScript, セキュリティ
これがブラウザの限界 2008/02/18
shinichitomita crossdomain, security, javascript, web, json
「JSON については、JavaScript として文法違反であるがゆえに、秘密情報を含むデータフォーマットとして使用することができるのです」 2007/01/24
kmachu security, ajax, javascript, crossdomain
「質問への答え」の要約が素晴らしい。 2007/01/21
nilab xss, security, ajax, json
Kazuho@Cybozu Labs: クロスサイトのセキュリティモデル 2007/01/13
miya2000 javascript, ajax, security
わかってる人にしかわからない文章に見える。「それUNI」みたいに脆弱性(禁止されないとどうなるか)の具体例があるとわかりやすいかも。/JSONPでなくJSONなら<script src=..しても変数に入れられないからデータ見れない、か。 2007/01/05
infohack javascript
クロスサイトのアクセス制限 2007/01/05
koyhoge javascript, security
セキュリティを考慮すれば、クロスサイトのスクリプトからはDOMをread onlyにするべきだと思う。 2007/01/05
kazuhooku
↓ごめんなさい修正しました。正解は、 s/文法違反である/副作用をもたない/ ということでいいでしょうか？ 2007/01/04
tsupo crossSite, security, JavaScript, css, JSON, Internet, computer
JSON については、JavaScript として文法違反であるがゆえに、秘密情報を含むデータフォーマットとして使用することができる ← これはうそだと思う 2007/01/04
wacky Web, JavaScript, セキュリティ
Webアプリケーションがクライアントへ返す内容に秘密情報を含めても良い場所／悪い場所。 2007/01/04
hiro_y javascript, security
XMLHttpRequest は何故クロスサイトで使えないのか。 2007/01/04
amachang javascript, security, cross-site
クロスサイトのセキュリティ 2007/01/04
teahut jsonp, security
>FRAME/IFRAME: クロスサイトDOM操作を禁止, IMG: スクリプトから画像データにアクセスできない(幅と高さは例外), CSS/SCRIPT: 制限なし, XMLHttpRequest: クロスサイトのリクエストを発行できない. CSS/SCRIPTに秘密情報を含めてはならない 2007/01/04