PHPのイタい入門書を読んでAjaxのXSSについて検討した(3)~JSON等の想定外読み出しによる攻撃~ - ockeghem(徳丸浩)の日記
昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。今回はJSON等の想定外読み出しによる攻撃です。これら攻撃手法は本来ブラウザ側で対応すべきもので、やむを得ずWebアプリケーション側で対応する上で、まだ定番となる対策がないように思えます。このため、複数の候補を示することで議論のきっかけにしたいと思います。 まず、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajaxを利用したアプリケーションの概念図を引用します(同書P20の図1-23)。 前回、前々回は、(5)のHTTPレスポンスの前後で、JSON等のデータ作成(エンコード)に起因するevalインジェクションや、(5)のレスポンスを受け取った後のHTMLレンダリングの際のXSSについて説明しました。 しかし、問題はこれだけではありません。正常
はじめてのJSONPプログラミング
前回の「ブログの☆の総数を取得できるAPIを組み込みました」では、はじめてJSONPを使ってみました。以下、実際にJSONPを使ってみての覚え書きと、これからJSONPプログラミングをはじめる方へのTIPSです。 ブログの☆の総数を取得できるAPIは、はてなスターに登録されたブログの情報を取得できるJSON形式とJSONP形式で提供されているAPIでした。 はてなスター日記 - ブログの☆の総数を取得できるAPIを追加しました JSONとは、JavaScriptにおけるオブジェクトの表記法をほぼそのまま利用したデータフォーマットのことで、JSONPはJSONにちょっと記述を加えて、クロスドメインのJSONデータを非同期で読み込ませて処理するための手法のことです。(詳しい定義については、自分で調べてみてください) 通常、Webブラウザでは他ドメインのJavaScriptのデータを読み込んで実
iandeth. - jQuery JSONP plugin
iandeth. Perl, Flash ActionScript, MySQL, Movable Type, システム開発 - そんなテーマのサイトdeth. 最近遅ればせながらjQueryを使い始めてみているのですが、jQueryは標準ではクロスドメインのJSONPリクエストに対応していないようでした。AJAX系APIの中には $.getScript() のようにレスポンスをjavascriptソースとして実行するものもありますが、あくまで同一ドメイン内通信に限定されているので、「JSONP対応のWebサービスからデータを直接取得」のような用途には使えません。 じゃあ、ということで随分前 (2006-01-25) にMichael Geary氏がJSONP用のjQueryプラグインをさくっと作って公開してくれています: JSON for jQuery - mt.to これでとりあえずは
DevPro - Novità e consigli su web marketing, SEO e tools - DevPro
Questo sito non rappresenta una testata giornalistica e viene aggiornato senza alcuna periodicità. Pertanto, non può essere considerato in alcun modo un prodotto editoriale ai sensi della L. n. 62 del 7.03.2001. Le immagini, salvo errori, non sono coperte da copyright. Siamo comunque disponibili a rimuoverle nel caso fossero coperte da diritto d’autore. Devpro.it non è in alcun modo responsabile p
PipesのJSONP - snippets from shinichitomita’s journal
http://www.popxpop.com/archives/2007/02/yahoo_pipesbadger.html http://kentbrewster.com/badger/ なんだ、JSONだけじゃなくってJSONPもいけるんじゃん。いいぞいいぞ。 Yahoo Pipes http://pipes.yahoo.com/pipes/zIQi0Iy72xGJ3NMhJhOy0Q/run?_render=json&s=http://d.hatena.ne.jp/shinichitomita/rss&_callback=handleFeeds→テスト つまり、RSS2JSONPサービスとしても使えるってことだ。いままでにもそういうサービスはあったけど、ほとんど個人が好意でやってるものだった。非個人がサービスしているということ、しかもYahooという企業の信用レベルを考えればこれはす
JSON-RPC-Java - Home
Development of the JSON-RPC-Java project has now moved to jabsorb.org Introduction JSON-RPC-Java is a key piece of Java web application middleware that allows JavaScript DHTML web applications to call remote methods in a Java Application Server without the need for page reloading (now refered to as AJAX). It enables a new breed of fast and highly dynamic enterprise Web 2.0 applications (using simi
PieceとJSON/JSONP - スコトプリゴニエフスク通信
PHPのWebフレームワークのAJAXへの対応状況はまちまちで、どれもAJAXを通して応答を返すことをアプリケーション開発者が意識しなくてはならなかったり、かなり泥臭い対応をしなくてはならなかったりします。 Piece Frameworkは現時点で、AJAXやJSON/JSONPといった技術に対応するための機能を何も提供していませんが、対応するのは極めて容易で、しかも他のフレームワークでは実現できないような透明性を確保できます。僕自身、ありとあらゆるPHPのWebフレームワークに精通しているわけではありませんが、それでもやはり、Piece の柔軟性には特筆すべきものがあると考えます。 以下で記述している内容は、Piece Framework本家にまたマージされていません。PieceでJSON/JSONPを扱うための私案とお考えください。 Pieceのビューの設定は、piece-unit
Life is beautiful: JSON COMETでリアルタイム・ページビュー・カウンターを作ってみた
最近Linuxの勉強もかねて作っているのが、超シンプルなアーキテクチャーのHTTPサーバー。そこそこ動き始めたのだが、それだけでは面白くないので、サーバー側からイベントに応じてデータをPushできるCometの機能を足してみた。 ストレステストのために、昨日からこのブログにこっそりとテスト用のIFRAMEを貼り付けてあったのだが(そのおかげで、バグを三つばかり見つけることができた―感謝、感謝^^)、安定して動き始めたので、見栄えを整えてこのブログの右上に貼り付けてみた。 題して、「リアルタイム・ページビュー・カウンター(RPV Counter)」。Totalはこのカウンターをリセットしてからのページビューの数、Currentはその時点でこのブログを見ている人の数(ただしノイズあり)、PeakはCurrentの過去最大値だが、ページを再ロードせずとも、それぞれのカウンターが自動的にアップデー
GT Nitro: カーレーシング・ドラッグレーシングゲーム - Google Play のアプリ
GT Nitro: Car Game Drag Raceは、典型的なカーゲームではありません。これはスピード、パワー、スキル全開のカーレースゲームです。ブレーキは忘れて、これはドラッグレース、ベイビー!古典的なクラシックから未来的なビーストまで、最もクールで速い車とカーレースできます。スティックシフトをマスターし、ニトロを賢く使って競争を打ち破る必要があります。このカーレースゲームはそのリアルな物理学と素晴らしいグラフィックスであなたの心を爆発させます。これまでプレイしたことのないようなものです。 GT Nitroは、リフレックスとタイミングを試すカーレースゲームです。正しい瞬間にギアをシフトし、ガスを思い切り踏む必要があります。また、大物たちと競いつつ、車のチューニングとアップグレードも行わなければなりません。世界中で最高のドライバーと車とカーレースに挑むことになり、ドラッグレースの王冠
Yahoo! Search Web ServicesのJSON(P)を利用したサイト内検索
Yahoo! Search Web ServicesのJSON(P)を利用すれば、JavaScriptのみでサイト内検索が実現できる上、Ajax的にページ遷移無しで検索が実行できる。Google AJAX Searchが内部で利用しているJSONPらしきアレを利用するケースと違い、こちらは公式にアナウンスされているのでおおっぴらに利用できる。というわけで、ほとんど同じタイトルでほとんど同じネタを連続で書いてみる。 実装は、ひとつ前のエントリでもリンクを張っておいたサンプル・ページで利用しているJavaScriptファイルのような形になる。 Yahoo! Search Web ServicesのWeb Search APIへのリクエストは、 http://api.search.yahoo.com/WebSearchService/V1/webSearch?appid={アプリケーションID}
hail2u.net - Weblog - Google AJAX Search APIのJSONPを利用したサイト内検索
Google AJAX Search APIは、動的にGoogle検索結果を自分のページに挿入することができるAPI(あまり使っているサイトを見ないけど)。Ajaxっつっても内部はJSONP(みたいなもの)だったりするので、普通にGwebSearchクラスのsetSiteRestriction()メソッドを使うのではなく、JSONPを直接叩いてサイト内検索を実装することもできる。もちろんサイト内検索に限った話ではないけど。 Google AJAX Search APIのGwebSearchクラスによる検索は、 http://www.google.com/uds/GwebSearch?callback={コールバック関数名}&context=0&lstkp=0&hl=ja&q={検索文字列}&key={Google AJAX Search API key}&v=0.1 というURLへリクエス
404 Blog Not Found:javascript perl - yubin2jsonp
2006年09月24日16:00 カテゴリLightweight Languages javascript + perl - yubin2jsonp どうせなら、JSONPを使ってどこにでも設置できたらいいじゃんと思ったのでこんなのこさえました。 [Ajax] CGI不要の郵便番号→住所変換フォーム Kawa.net Blog /ウェブリブログ JavaScript のみで稼動するため、サーバサイドで稼動するCGIプログラムは不要です。こんな感じです。 〒(7けた) 都道府県 市区町村 町域以降 HTMLまで含めたsourceはこんな感じです。 <script> function Yubin2JSONP(root){ this.root = root; this.parse = function(yubin){ if (! yubin.match(/[0-9]{7}/) ) return
AjaxZip 2.0
Kawa.netxp AjaxZip 2.0 - Ajax郵便番号→住所自動入力フォーム(CGI不要版) AjaxZip2は、昨年公開した 『ajaxな住所入力フォーム』 の新バージョンです。 郵便番号を入力すると、該当する都道府県名・住所が自動的に入力されます。 Ajaxと JSON フォーマットを利用するJavaScriptライブラリとして公開しました。 JavaScript のみで稼動するため、サーバサイドで稼動するCGIプログラムは不要です。 郵便番号→住所変換処理は全てクライアントサイドのJavaScriptで行います。 既存 HTML の住所入力フォームをたった3行書き換えるだけで利用できます。 簡単に設置できるため、プログラムに詳しくない方でも導入していただけると思います。 以下の住所入力フォームに、7桁の郵便番号を入力してみてください。 【2007/12/09 追記】 jQ
MochiKit で JSONP の利用 - 2nd life (移転しました)
最近日本でも JSONP が広く知られるようになってきました。JSONPについて詳しくはhail2u.net - JSONP や snippets from shinichitomita’s journal - JSONPについてをどうぞ。 で、JSONP を簡単にライブラリから扱うには、dojo ならScriptSrcIO、prototype.js なら dojoの ScriptSrcIO ライクに拡張した Dojo penetrates Prototype Dude, WTF?! などがあります。 しかしながら、我らが MochiKit は開発者の Bob さんが JSONP を提唱したにもかかわらず、JSONP を扱う Async の関数が見あたらない*1ので作ってみました。デモでは delicious の json api をコールバック関数付きで呼び出し(JSONP)て、リストを
ITmedia エンタープライズ:実は、Ajaxのウラにこそ勝算がある (1/5)
実は、Ajaxのウラにこそ勝算がある:Web 2.0で変わるWebプログラミングの常識(1/5 ページ) 見た目にインパクトが大きいAjax利用のWebアプリケーション。しかし、その見た目を支える要となるものは、背後にある有益な情報処理と活用方法だ。Ajaxのインパクトに負けないWebアプリはどのように作られるのか? このオンライン・ムックPlus「Web 2.0で変わるWebプログラミングの常識」では、これまでにAjaxの概要(第1回)から発展系としてどのような取り組みあるのか(第2回)、そして、効率的な組み込み方法の一つとしてJSONと呼ばれるデータ形式のやり取り(第3回)について解説した。 この一連の特集を読むことで、プログラミングノウハウを一から十まですべてを学べるほどのボリュームは詰め込めないが、それでも最低限押さえておくべきポイントが理解できるはずだ。今回の記事でテーマとなるの
Ajaxの真価はWebサービス連携にあり
落ち着きつつあるAjaxを取り込んだWebアプリケーション開発への取り組み。後発でもアイデアはまだまだ出尽くしていない。基本を復習して新たなサービスへとつなげてみよう。 Ajaxというと、XMLでデータを送受信するというイメージがある。 しかし、実際にはXMLである必要性はない。むしろXML形式ではないほうが、送受信データパースの手間が必要ないというケースが多いのだ。 一方で、XMLでデータをやり取りできる利点を生かせば、当然ながらWebサービスとの効果的な連携も現実的なものになってくる。今回は、Ajaxアプリケーションにおいてよく用いられる「JSON」と呼ばれるデータ形式について解説しよう。 このオンライン・ムックPlus「Web 2.0で変わるWebプログラミングの常識」では、これまでにAjaxの概要(第1回)から発展系としてどのような取り組みあるのか(第2回)について解説した。このオ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IBM Developer
JSONを使ってAJAXベースのアプリケーションを高速化する:CodeZine
IBM Developer
IBM Developer