Set Headers with jQuery.ajax and JSONP?
I am trying to access google docs with jQuery. Here's what I have so far: var token = "my-auth-token"; $.ajax({ url: "http://docs.google.com/feeds/documents/private/full?max-results=1&alt=json", dataType: 'jsonp', beforeSend: function(xhr) { xhr.setRequestHeader("Authorization", "GoogleLogin auth=" + token); }, success: function(data, textStatus, XMLHttpRequest) { }, error: function(XMLHttpRequest
IEのMIMEタイプ取扱い方法の変更 - 技術ブログ読み日記
IEBlogの「MIME-Handling Changes in Internet Explorer」を読みました。 IEのMIMEタイプ(Content-Type)の扱いについて、10月のアップデートで変わった点と、IE9で変わる点について解説されています。 ブラウザがLINK要素やSCRIPT要素を content-type を無視して読み込んでしまうと、CSRF脆弱性につながるそうです。 悪意のあるページのLINKタグがほかのサイトのHTMLを指していて、それをブラウザが読み込むとします。すると、それはそのページのスクリプトから読み取ることができます。 その「ほかのサイトのHTML」がユーザがログイン状態のページだったとしたらまずいことになります。Googleのトップページとかだったら私のGoogleアカウントがばれますし、Amazonなら本名や趣味までばれてしまう、という話なんだと
JSONPはセキュアでないのか? - snippets from shinichitomita’s journal
JSONPという強力なAjaxアプローチが認知されだしたとたん、JSONPってセキュリティ的にやばいんじゃないの、という話がそこらここらで聞かれる。注意して使った方がいいよー、とか、どうなっても知らないよー、とか。 JSONPで軽量Webサービスインフラを、と提唱してる身としては、もしほんとにリスクが大きいのであれば早めに何とか手を打ちたいわけです。 とりあえずこちらで思いつく限り、JSONPのリスクっぽいものをあげてみる。 まず最初に思いつくのが「これってクロスサイトスクリプティングじゃないの?」という話。なんか文字だけ捉えるとそれっぽいね。確かにクロスサイトだし、スクリプトだし。 クロスサイトスクリプティング(XSS)とは 動的にWebページを生成するシステムのセキュリティ上の不備を意図的に利用し、サイト間を横断して悪意のあるスクリプトを混入させること。また、それを許す脆弱性のこと。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
