第3回 JSONPでのクロスドメインアクセス | gihyo.jp
JSONPの動作原理 前回はAjaxに存在するセキュリティモデルであるSame-Originポリシーを紹介し、そのSame-Originポリシーを迂回する方法とセキュリティについて見てきました。また、回避する方法の1つめとしてリバースProxyを用いた方法を紹介しました。リバースProxyを用いた方法ではセキュリティ的な問題点もありましたが、そもそもProxyサーバを用意しなければならないため、この方法は手軽に使うことはできませんでした。 そこで考え出されたのがJSONP(JavaScript Object Notation with Padding)という方法です。 それではまず簡単にJSONPについて説明します。 Ajaxで使われるXMLHttpRequestオブジェクトには前回説明したとおりSame-Originポリシーがありクロスドメインアクセスはできません。一方、SCRIPTタグ
[鏡] 入門 JSON 3 -- JSONP とコールバック関数 -- 戯れ言
最近 JSONP というのが話題になっているようですので, ここで簡単に紹介します。 JSONP (JSON with Padding)というのは JSON のデータフォーマットにちょっとした記述を加えて JavaScript の関数として呼び出せるようにしたものです。 JSONP については以下の記事に簡単な説明があります。(多分この記事が初出だろうという話です) Remote JSON - JSONP 例えば以下のような JSON データがあるとします。 { "name" : "Yasuhiro ARAKAWA" } JSONP ではこのデータに記述を加えて JavaScript 関数のようにしたものです。 分かりにくいですね。 具体的にはこのように記述します。 callback( { "name" : "Yasuhiro ARAKAWA" } ); "callback" の部分は関数
![[鏡] 入門 JSON 3 -- JSONP とコールバック関数 -- 戯れ言](https://cdn-ak-scissors.b.st-hatena.com/image/square/b9403aeb9e428539e1bdb60550747807cd52d387/height=288;version=1;width=512/https%3A%2F%2Fbaldanders.info%2Fimages%2Fattention%2Fremark.jpg)
snippets from shinichitomita’s journal - ブラウザからJSONで呼び出せるサービス一覧
ブラウザから動的スクリプトタグで呼び出せるJSONサービスの一覧。サービス利用にはHTMLとJavaScriptさえあればよいもののみ挙げている。JSONPであるとは限らない。オフィシャル/非オフィシャル問わず。知らないのがあったら誰か教えてください。 (追記)JSONP形式のサービスにはJSONPテストページへのリンクを追加しました del.icio.us ポスト一覧取得 http://del.icio.us/feeds/json/stomita (既定変数埋め込み) http://del.icio.us/feeds/json/stomita?callback=handlePosts (JSONP) →テスト タグ一覧取得 http://del.icio.us/feeds/json/tags/stomita (既定変数埋め込み) http://del.icio.us/feeds/json
[気になる]JSONPの守り方
JSONP提供側のXSS JSONPを提供する側は、コールバック関数の名前を自由に指定できるようにしているのが一般的です。 例えば、「http://example.jp/weather.json?loc=tokyo&callback=ShowWeatherInfo」のように指定してやり、コールバック関数名としてShowWeatherInfoを使うなどです。 このコールバック関数の名前の部分も、攻撃者によるクロスサイトスクリプティングに利用される可能性がありますので、JSONPを提供する側では、コールバック関数の名前として使える文字を制限してやる必要があります。 例えば、「http://example.jp/weather.json?loc=tokyo&callback=%3Cscript%3Ealert(1)%3C%2Fscript%3E」のようなURLでJSONPが要求されたときに、ca
![[気になる]JSONPの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
[気になる]JSONPの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
Twitter、iPhone向け公式アプリ『Twitter』を無料で公開
Twitterが公式のiPhone向けのクライアント『Twitter 』(無料)をApp Storeで公開しています。 軽快な動作、優れたユーザーインターフェイスで人気を集めた「Tweetie」のバージョン3.0にあたるもので、Twitterが開発元を買収したことにより、今回より公式アプリとしてリリースされます。 今回のバージョンアップは、名称と開発元の変更に留まらず、機能面でも改良が加えられています。 ユーザーとツイートの検索を統合 検索にTop Tweetsを追加 Twitterの登録機能を追加 よく利用されるRetweetをメインアクションバーに移動 Twitter.comのツイートに合わせたレンダリング Twitterはこれまで公式のアプリを公開しておらず、より便利に使いたいという需要に応えるかたちでえサードパーティ製クライアントが多数開発され、互いに競合していくなかで、高機能・高
Google App EngineがSQLデータベースをサポートへ。エンタープライズ向けサービスを拡充
Google App EngineがSQLデータベースをサポートへ。エンタープライズ向けサービスを拡充 グーグルは5月19日(現地時間)に米サンフランシスコで開催されたイベント「Google I/O」の基調講演で、エンタープライズ向けにフォーカスした「Google App Engine for Business」を発表しました。その内容を紹介しましょう(基調講演の内容は、記事「[速報]Google I/Oで発表された4つのポイント:VP8オープンソース化/Chrome Web Store/VMwareとの協業/Google App Engine for Business」をご覧ください)。 基調講演で最後の発表者として壇上に立ったのは、グーグルのKevin Gibbs氏。App Engineがエンタープライズに受け入れられるようにするためには、いくつかのバリアを乗り越えなければならないと語
今からでも間に合う!本気で勉強したい人のための英語学習ページまとめ! | nanapi[ナナピ]
今からでも間に合う!本気で勉強したい人のための英語学習ページまとめ! に関するライフレシピをご紹介します。nanapi [ナナピ]は、みんなで作る暮らしのレシピサイトです。nanapiでライフレシピ生活! あなたのライフレシピを待っている人たちがいます あなたが生活でちょっとうまくやっていること、 それを知りたがっている人たちがいます! あなたの投稿で、 みんなの生活をハッピーにしてみませんか? nanapiに参加する(無料) はじめに 英語というとなかなか難しいものです 新しい語学への挑戦という難しさもあると思いますが 勉強方法がわからないという方もいらっしゃると思います そんな方のために英語勉強のための良ページをまとめました 勉強法 急がばまわれ式・堅実で一番効率的な英語の勉強法 http://anond.hatelabo.jp/20091026215137 まず始めに何を使って
iPad向けに「電子貸本」サービス 6500冊をレンタル
パピレスは、電子書籍レンタルサービス「電子貸本Renta!」のiPad向けサイトを5月28日に公開する。1冊100円から。 iPadの国内販売に合わせてサービスをスタート。コミックや小説、実用書、グラビア写真集など6500冊を超える電子書籍コンテンツが読める。 同社の電子書籍配信システム「MEDUSA」(メデューサ)を利用し、特別なアプリケーションをダウンロードしなくてもブラウザ上で書籍を閲覧可能。レンタル時間が書籍ごとに決まっており、48時間から無制限まで時間を限って閲覧できる。 iPadでコンテンツを開くと本の表紙を表示し、ページをタップすると読み進められる。しおり機能も搭載し、本を閉じると自動でマークされ、次回閲覧時にはそのページが開く。iPadを横に倒すと拡大表示する拡大モードも備えた。 利用には無料の会員登録が必要。PC向けサービスなどとも連携し、PCで借りた本をiPadで読むと
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
