JSONPはセキュアでないのか? - snippets from shinichitomita’s journalJSONPという強力なAjaxアプローチが認知されだしたとたん、JSONPってセキュリティ的にやばいんじゃないの、という話がそこらここらで聞かれる。注意して使った方がいいよー、とか、どうなっても知らないよー、とか。 JSONPで軽量Webサービスインフラを、と提唱してる身としては、もしほんとにリスクが大きいのであれば早めに何とか手を打ちたいわけです。 とりあえずこちらで思いつく限り、JSONPのリスクっぽいものをあげてみる。 まず最初に思いつくのが「これってクロスサイトスクリプティングじゃないの?」という話。なんか文字だけ捉えるとそれっぽいね。確かにクロスサイトだし、スクリプトだし。 クロスサイトスクリプティング(XSS)とは 動的にWebページを生成するシステムのセキュリティ上の不備を意図的に利用し、サイト間を横断して悪意のあるスクリプトを混入させること。また、それを許す脆弱性のこと。
