3分で分かるAngularJSセキュリティ - teppeis blog

先日のng-mtg#4 AngularJS 勉強会でLTしようと思ったけど申し込みが間に合わなかったのでブログに書きます。 先月リリースされたAngularJS 1.2はセキュリティがんばってる的なことを聞いたので、セキュリティ周りの仕組みを調べてみました。 お題は以下です。 CSRF JSON CSP (Content Security Policy) Escaping CSRF ユニークなトークンをHTTPリクエストに載せてサーバーでチェックする対応が世の中では主流（最近はカスタムヘッダのチェックによる対策も） AngularJSでは、XSRF-TOKEN Cookieにトークンが載っていると、$httpを使ったHTTPリクエストのヘッダに自動的にX-XSRF-TOKENヘッダーが付く。 XSRF-TOKEN CookieはもちろんNot HttpOnlyで。 Angular界ではCS

[teppeis]

書いた！

[rna]

これ3分じゃ無理、って思ったらオチが…

[efcl]

AngularJSのセキュリティについて. CSRF、JSONハイジャック対策、CSPとngCspディレクティブ、$sceによるテンプレートのエスケープについて

[hasegawayosuke]

AngularJS関係なく参考になる。

[m_shige1979]

参考になる

[ZOETROPE]

要点がまとまってて参考になる。/trustAs使わなくてもngSanitizeを追加するだけでいいのか。/ng-bind-html-unsafeは1.2からなくなったはず。

[hokaccha]

タイトルが釣りだった

[reggaepunch]

なんかすげーな

[Muke]

AngularJS使いたいから勉強する

[s5ot]

“AngularJS: ng.$http”

[kitokitoki]

v1

[lesamoureuses]

へー “AngularJSでは、)]}',をJSONレスポンスの先頭に付ける手法が組み込みで用意されていて、これが付いてる場合は自動で除去してくれる。”

[tksmd]

angularjs セキュリティ

[sho]

……3分?

[luccafort]

オチでああこれLTネタのつもりだったんだっけ、そりゃ3分でこの内容は無理だと思ってしまった。

[kazuhooku]

メモメモ…

[kkeisuke]

“CSRF JSON CSP (Content Security Policy) Escaping”$sanitize ng-bind-html

[murasaki11]

本質ではないところがしっかりしてるのね

[tak4hir0]

3分で分かるAngularJSセキュリティ - teppeis blog

[bananoise]

“PHPのイタい入門書を読んでAjaxのXSSについて検討した(3)～JSON等の想定外読み出しによる攻撃～ - ockeghem(徳丸浩)の日記”