機密情報にJSONPでアクセスするな

2007年6月7日 はてなブックマークのコメントをうけて、「常にJSONP、JSON、JavaScriptに機密事項を含めないように」という主張を改め、「クロスドメインアクセスの対策をとっていない状態ではJSONP、JSON、JavaScriptに機密事項を含めないように」という主張に関して記述しました。 こんにちは、SEの進地です。 今回から週単位でWebアプリケーションのセキュリティに関するエントリーを書いていこうと思います。 僕自身、日々勉強して精進というところですので、もし何らかの誤りがあれば是非ご指摘ください。 つっこみ大歓迎です。 今回取り上げるのはWeb 2.0なアプリケーションでセキュリティ面で気をつけるべきことの一つ、機密情報にJSONPでアクセスするなです。 JSON(JavaScript Object Notation)はJavaScript(ECMAScript)の

[webmarksjp]

security

[kazukiy]

JSONによる通信の脆弱性について

[ockeghem]

「機密情報にJSONPでアクセスするな」<このタイトルは、JSONP使うなって言うのと同じだよなぁ

[kazuhooku]

微妙に間違ってるような＞「JSON、およびJavaScriptには機密情報は一切書き込んではいけません。」

[shinichitomita]

CSRFの定義がよくわからなくなった

[rhosoi]

こういう書き方をするときりがないし、仕組みの理解から遠ざかる気はする。保護されていないところで漏れち

[syd_syd]

機密情報をJSONPでユーザに提供するなという事でOK?

[t_43z]

ログインユーザ向けに機密情報をJSONで返すようにしていると、その情報はJSONPによって第3者によりアクセスすることが可能

[hiro_y]

JSON/JSONP/JavaScriptに機密情報を含めないこと、CSRF脆弱性と絡めて。

[tsupo]

JSON で重要な情報を流してはいけない、という話

[yuiseki]

最初の数行がエチケットシートなのが参考になりまった

[wacky]

JSON / JSONP / JavaScriptデータに機密情報を含めてはならない理由。CSRF脆弱性を絡めた解説。

[hamasta]

JSONPについての注意

[koyhoge]

まぁ仕組みを考えればone time tokenは必須だよね。

[betelgeuse]

それはhttpである。それはWebサーバ上にある。