はてなブックマーク - Kazuho@Cybozu Labs: JSONP - データ提供者側のセキュリティについて

Kazuho@Cybozu Labs: JSONP - データ提供者側のセキュリティについて

labs.cybozu.co.jp

タグ : Security jsonp JSON JavaScript セキュリティ XSS Ajax script web RIA

コンピュータ・IT 103 users

« E4X-XSS 脆弱性について | メイン | 「スーパー技術者争奪戦」 » 2007年01月12日 JSONP - データ提供者側のセキュリティについて JSONP のセキュリティは、ともすればインクルードする側についての議論になりがちであり、その影でインクルードされる側のリスクが見過ごされがちです。JSONP の使用にあたっては、データ提供者への XSS に注意する必要があります。脆弱な例としては、以下のようなものがあります。 GET /json.cgi/append.html?padding=%... > このページを見る

最終更新時間: 2007年01月12日15時31分

▼ブログで紹介する

みんなのブックマーク人気（0）新着

hirokidaichi
js hijakingにもふれてほしかった/JSONPオンリーか。なら関係ないや。 2009/05/17
takimo
1. padding に使用できる文字を制限する注1 2. json コンテンツ内の < をエスケープする 3. レスポンスヘッダで charset を指定する 2009/05/17
convivial
jsonp提供者側のxss対策 2009/01/07
webmarksjp security, script, jsonp, xss, セキュリティ, RIA, json
JavaScript 2008/07/13
hasegawayosuke XSS, IE, security, JSON
application/jsonだけでなくapplication/atom+xmlもIEが認識できないのでPATH_INFO使ってHTMLと解釈させることが可。content-disposition:inline;filename="a.js"で防げる? 2007/07/31
ockeghem javascript, json, jsonp, security, xss, セキュリティ
後で読む 2007/05/23
k2ca3 javascript, json, jsonp, セキュリティ
よく考えないと危険 2007/05/07
s-e-i JSONP, XSS, security
自動判定を利用してのXSSを防ぐ 2007/05/04
kmachu security, jsonp, javascript, json
「JSONP のデータを HTML として解釈させ、その中にスクリプトを埋め込む XSS 」 2007/01/25
shinichitomita json, jsonp, security, xss
確かに 2007/01/24
nilab json, security
Kazuho@Cybozu Labs: JSONP - データ提供者側のセキュリティについて : 2007/01/13
tsupo JSON, JSONP, JavaScript, security, Internet, computer
インクルードされる側のリスク 2007/01/13
hiro_y security, json, javascript
データ提供者側が行うべきセキュリティ対策。 2007/01/12
wacky JavaScript, JSON, セキュリティ
JSONPサービスの提供側が行うべきセキュリティ上の処理。コールバック関数名の制限、charsetの指定など。 2007/01/12