[気になる]JSONPの守り方
JSONP提供側のXSS JSONPを提供する側は、コールバック関数の名前を自由に指定できるようにしているのが一般的です。 例えば、「http://example.jp/weather.json?loc=tokyo&callback=ShowWeatherInfo」のように指定してやり、コールバック関数名としてShowWeatherInfoを使うなどです。 このコールバック関数の名前の部分も、攻撃者によるクロスサイトスクリプティングに利用される可能性がありますので、JSONPを提供する側では、コールバック関数の名前として使える文字を制限してやる必要があります。 例えば、「http://example.jp/weather.json?loc=tokyo&callback=%3Cscript%3Ealert(1)%3C%2Fscript%3E」のようなURLでJSONPが要求されたときに、ca
![[気になる]JSONPの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
ActionScript3 で JSONP を扱うライブラリ - 2nd life (移転しました)
AS3 で JSONP を扱えるライブラリがぱっと探した感じ無かったので作りました。 http://svn.rails2u.com/as3rails2u/trunk/src/com/rails2u/net/JSONPLoader.as URLLoader とほとんど同じ感じに使えます。たとえばはてなブックマークの JSONP なら // ブラウザで表示しているドメインのセキュリティ許可 // swf のドメインが同じなら必要なし JSONPLoader.allowCurrentDomain(); var loader:JSONPLoader = new JSONPLoader(); loader.addEventListener(Event.COMPLETE, function(e:Event):void { log(e.target.data); // target.data に JSO
高反発マットレスの選び方 | アフィブログに騙されない為の高反発マットレス手記
ウレタン系高反発マットレスでよく言及されるのが密度です。それを頑張って分かりやすく説明してみます。
LocoSticker 位置表現特定API (プロジェクト:位置情報)
住所文字列(位置表現)を含むテキストを入力すると、位置表現を抽出してそのテキストの主題位置に絞り込んだ結果を緯度経度情報付きでJSON形式で応答するAPIです。 住所やスポット名の文字列を単純にすべてピックアップするものではなく、テキストの主題との関連の強さを判断し、関連の強いものだけを抽出します。 [単純に文字列をピックアップする場合の問題点] (1)同じ地名、スポット名に複数の候補がある たとえば、「清水寺」に緯度経度を振ろうとすると非常にたくさんの候補があります。(日本には「清水寺」というお寺がたくさんあるため(「清水寺」でジオコードした結果)) このAPIでは京都が話題の中心の場合は京都の清水寺の位置だけを返します。 (2)地名、スポット名でないものを間違えてピックアップする 「福井」さんが京都に旅行に行ったという風な話題の時に「福井」を地名として取ってしまっては困ります。
JSONPライブラリ作った - 惰性で・・・
Javascriptを触りだして9ヶ月経つ。 昔のコードを見ると恥ずかしくなるなぁ(゚ε゚)キニシナイ! クロスドメインでアクセスするための非同期通信としてJSONPはすごく便利だけど ちょっとなぁってところが3つある。 callback関数名を渡すところ scriptタグのremoveChildを書くのが面倒くさい callback関数のスコープ 1つ目 <script type="text/javascript" charset="UTF-8" src="http://del.icio.us/feeds/json/futa23?callback=コールバック関数名"/> 初めてJSONPを知ったJSONscriptRequestでもコールバック関数をURL内に文字列として指定してる。 文字列で指定するんじゃなくて関数で指定したい! 例えば、こんな風に指定できたほうが自然だよね。 new
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JSON/簡単なテスト:基本
http://www.adamrocker.com/blog/102/javascript_simplest_jsonp.html
