気に入った記事をブックマーク
- 気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
- 記事を読んだ感想やメモを書き残せます
- 非公開でブックマークすることもできます
labs.cybozu.co.jpエントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント16件
- 注目コメント
- 新着コメント
proto_jp
XMLHttpRequest ではサーバの任意のデータをスクリプトで処理できるので、クロスサイトのアクセス制限が必要である。IMG タグについては、スクリプトから画像データにアクセスできないため、クロスサイトでの参照を許可す
miya2000
わかってる人にしかわからない文章に見える。「それUNI」みたいに脆弱性(禁止されないとどうなるか)の具体例があるとわかりやすいかも。/JSONPでなくJSONなら<script src=..しても変数に入れられないからデータ見れない、か。
teahut
>FRAME/IFRAME: クロスサイトDOM操作を禁止, IMG: スクリプトから画像データにアクセスできない(幅と高さは例外), CSS/SCRIPT: 制限なし, XMLHttpRequest: クロスサイトのリクエストを発行できない. CSS/SCRIPTに秘密情報を含めてはならない
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
Kazuho@Cybozu Labs: クロスサイトのセキュリティモデル
« Japanize - IE 系の User JavaScript エンジンに対応しました | メイン | 安全な JSON, 危険な JSON (... « Japanize - IE 系の User JavaScript エンジンに対応しました | メイン | 安全な JSON, 危険な JSON (Cross-site Including?) » 2007年01月04日 クロスサイトのセキュリティモデル あけましておめでとうございます。 昨年、社内で「XMLHttpRequest は何故クロスサイトで使えないのか。画像や SCRIPT タグは使えるのに」という疑問 (というより試問) を耳にしました。おもしろい話なのでブログネタにしようと思っていたのですが、新年早々 GMAIL の事例がスラッシュドットされていたので、自分の現時点での理解をまとめてみることにしました。文書を確認して書いているわけではないので、間違いがあれば指摘してください。また、よい参考文献をご存知の方がいらっしゃいましたら、教えていただければ幸いです。 ウェブブラウザ
ブックマークしたユーザー
すべてのユーザーの
詳細を表示します
詳細を表示します
labs.cybozu.co.jp
labs.cybozu.co.jp
labs.cybozu.co.jp
labs.cybozu.co.jp
anond.hatelabo.jp
kyoko-np.net
shueisha.online
mainichi.jp
zenn.dev/teradatky
blog.shibayu36.org
togetter.com
www.techno-edge.net
acro-engineer.hatenablog.com
speakerdeck.com/mame
www.itmedia.co.jp
gigazine.net
kirakuni.muragon.com
xtech.nikkei.com
www.geniusbrain.jp
xtech.nikkei.com
2010/10/27 リンク