JSONP提供側のXSS JSONPを提供する側は、コールバック関数の名前を自由に指定できるようにしているのが一般的です。 例えば、「http://example.jp/weather.json?loc=tokyo&callback=ShowWeatherInfo」のように指定してやり、コールバック関数名としてShowWeatherInfoを使うなどです。 このコールバック関数の名前の部分も、攻撃者によるクロスサイトスクリプティングに利用される可能性がありますので、JSONPを提供する側では、コールバック関数の名前として使える文字を制限してやる必要があります。 例えば、「http://example.jp/weather.json?loc=tokyo&callback=%3Cscript%3Ealert(1)%3C%2Fscript%3E」のようなURLでJSONPが要求されたときに、ca
![[気になる]JSONPの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)