第3回 JSONPでのクロスドメインアクセス | gihyo.jp

JSONPの動作原理 前回はAjaxに存在するセキュリティモデルであるSame-Originポリシーを紹介し、そのSame-Originポリシーを迂回する方法とセキュリティについて見てきました。また、回避する方法の1つめとしてリバースProxyを用いた方法を紹介しました。リバースProxyを用いた方法ではセキュリティ的な問題点もありましたが、そもそもProxyサーバを用意しなければならないため、この方法は手軽に使うことはできませんでした。 そこで考え出されたのがJSONP（JavaScript Object Notation with Padding）という方法です。 それではまず簡単にJSONPについて説明します。 Ajaxで使われるXMLHttpRequestオブジェクトには前回説明したとおりSame-Originポリシーがありクロスドメインアクセスはできません。一方、SCRIPTタグ

[kana321]

JSONPでのクロスドメインアクセス

[witchstyle]

(2007/07/25の記事) JSONPでのクロスドメインアクセスの動作説明と注意点

[igrep]

JSONPで機密情報を扱うな。

[ghostbass]

現実的には

[willnet]

JSONPで取得した情報に機密情報を含めるのは危険／あたりまえっちゃあたりまえの話

[decoy2004]

SCRIPTタグにはSame-Originポリシーがありませんので，異なるドメインのサーバにJSONPデータを置くこともできます。

[stibbar]

一番の対策はJSNOPに機密情報を含めないことです。

[janus_wel]

わかりやすい。 JSONP 用の API を提供しているところが乗っ取られるとマズいというわけだな

[raimon49]

＞一番の対策はJSNOPに機密情報を含めないことです。

[fn7]

ほほう。。

[t_yano]

JSONPでのクロスドメインのセキュリティ問題について解説。

[SriVidyut]

ajax

[ockeghem]

今回は少し物足りなかった。もう少し対策などの説明が欲しい。