JSONのエスケープをどこまでやるか問題 - 葉っぱ日記
Ajaxなアプリケーションにおいて、サーバからJSONを返す場合に、JSON自体はvalidであるにも関わらず、(IEの都合で)エスケープが不足していて脆弱性につながってる場合があるので、書いておきます。 発生するかもしれない脆弱性 JSONのエスケープが不足している場合に発生する可能性のある脆弱性は以下の通りです。 JSON内に含まれる機密情報の漏えい XSS それぞれの詳細については後述します。 開発側でやるべきこと 文字列中のUnicode文字は "\uXXXX" な形式にエスケープするとともに、ASCIIな範囲であっても「/」「<」「>」「+」も同様にエスケープすることにより、前述の脆弱性を防ぐことができます。 Perlであれば、以下のような感じになります。JSON->ascii(1) に続けて、JSON文字列を正規表現で置換しているあたりがキモになります。 use utf8; u
暴言と知性について - 内田樹の研究室
松本復興相が知事たちに対する「暴言」で、就任後わずかで大臣を辞任することになった。 この発言をめぐる報道やネット上の発言を徴して、すこし思うことがあるので、それについて書きたいと思う。 松本大臣が知事に対して言ったことは、そのコンテンツだけをみるなら、ご本人も言い募っていたように「問題はなかった」もののように思われる。 Youtube で見ると、彼は復興事業は地方自治体の自助努力が必要であり、それを怠ってはならないということを述べ、しかるのちに「来客を迎えるときの一般的儀礼」について述べた。 仮に日本語を解さない人々がテロップに訳文だけ出た画面を見たら、「どうして、この発言で、大臣が辞任しなければならないのか、よくわからない」という印象を抱いたであろう。 傲慢さが尋常でなかったから、その点には気づいたかもしれないが、「態度が大きい」ということは別に政治家が公務を辞職しなければならないような
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
