[気になる]JSONPの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
![[気になる]JSONPの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
クリックジャックの脆弱性があるみたい - hogehoge @teramako
Firefox 3.0.5 にステータスバーを偽装できる欠陥 - Windows Livebookmark ステータスバーの表示を偽装できてしまう脆弱性があるようです。「ようです」というか実装コードのサンプルもあるのでやってみると確かにステータスバーに表示されているURLとは別のURLへ飛んだ。 ポップアップでURLバーを偽装している風のやつかなと思ったので、ステータスバーが標準と異なるVimperatorなら問題ないんじゃないかと思ったが、作りが全然違ってVimperatorでも偽装されてしまった。 作りはサンプルを見てくださいな。 Safari,Chromeでも動作するようです。GeckoもKHTMLも同じような実装方法なんだろうけど、リンクのクリック時の動作ってどうなっているんだろう。クリックイベントを受け取ってtargetからURLを割り出してオープンしているのとは違うっぽい感じ。
Fortify、Ajaxのセキュリティ問題に警鐘 | スラド
ITmediaの記事 Fortify、Ajaxのセキュリティ問題に警鐘 によれば、Fortify Software社が12種類(13バージョン)のAjaxフレームワークを調査したところ、「JavaScript乗っ取り」という特定の脆弱性について対抗策を講じていたものは一つしかなかったという。この脆弱性が悪用されると、ウェブサイトのユーザの機密情報が第三者に盗まれる危険がある。Fortify社のアドバイザリ(PDF)によれば、調査対象フレームワークは以下の通り: Dojo, DWR 1.1.4, DWR 2.0, GWT, jQuery, Microsoft Atlas, MochiKit, Moo.fx, Prototype, Rico, Script.aculo.us, xajax, Yahoo! UI。このうち対抗策があると言えるのはDWR 2.0のみ。またRicoとxajaxはJSO
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
