[気になる]JSONPの守り方
JSONP提供側のXSS JSONPを提供する側は、コールバック関数の名前を自由に指定できるようにしているのが一般的です。 例えば、「http://example.jp/weather.json?loc=tokyo&callback=ShowWeatherInfo」のように指定してやり、コールバック関数名としてShowWeatherInfoを使うなどです。 このコールバック関数の名前の部分も、攻撃者によるクロスサイトスクリプティングに利用される可能性がありますので、JSONPを提供する側では、コールバック関数の名前として使える文字を制限してやる必要があります。 例えば、「http://example.jp/weather.json?loc=tokyo&callback=%3Cscript%3Ealert(1)%3C%2Fscript%3E」のようなURLでJSONPが要求されたときに、ca
![[気になる]JSONPの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
JSONPライブラリ作った - 惰性で・・・
Javascriptを触りだして9ヶ月経つ。 昔のコードを見ると恥ずかしくなるなぁ(゚ε゚)キニシナイ! クロスドメインでアクセスするための非同期通信としてJSONPはすごく便利だけど ちょっとなぁってところが3つある。 callback関数名を渡すところ scriptタグのremoveChildを書くのが面倒くさい callback関数のスコープ 1つ目 <script type="text/javascript" charset="UTF-8" src="http://del.icio.us/feeds/json/futa23?callback=コールバック関数名"/> 初めてJSONPを知ったJSONscriptRequestでもコールバック関数をURL内に文字列として指定してる。 文字列で指定するんじゃなくて関数で指定したい! 例えば、こんな風に指定できたほうが自然だよね。 new
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JSON/簡単なテスト:基本
