Ajaxを利用したシステムを構築する際に配慮すべき事項はいくつかあるが(表1),ここではセキュリティ上の懸念について言及しておきたい。 まず,XHRでは,機密データを送る特定のリクエスト/レスポンスだけをSSL(Secure Sockets Layer)で暗号化できない。「同じ画面から送られるXHRは,全部暗号化するか,全部平文にするかのどちらかになる」(NTTデータ 木村氏)。全部暗号化すると処理負荷が重くなるので,ログイン画面はSSLで暗号化しているのに,業務画面は暗号化せずにXHRで送受信しているシステムが散見される。少なくとも,セッション情報などを盗まれない設計を検討すべきだ。暗号強度は低いが「aSSL」などのJavaScript暗号ライブラリの利用を考えたい。 次は,ソースコードが読まれるリスクである。クライアントにダウンロードしたJavaScriptのコードは丸見えなので,その