機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記
WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記)。 例えば、機密情報を含む以下のようなJSON配列を返すリソース(http://example.jp/target.json)があったとします。 [ "secret", "data", "is", "here" ] 攻撃者は罠ページを作成し、以下のようにJSON配列をvbscriptとして読み込みます。もちろ
Web APIの開発に使えるモックサーバ·EasyMock Server MOONGIFT
EasyMock Serverはnode.jsで作られたWeb APIのテスト用サーバです。 最近はWeb APIを使うシステム開発が増えています。しかし常にサーバにアクセスするのは面倒なのでモックサーバを立ててみましょう。そのために使えるのがEasyMock Serverです。 立ち上げました。3000番でポートが立ち上がります。 /user/1というURLにアクセスしました。結果も返ってきます。 APIドキュメントも生成されます。 実際の裏側。指定されたURL以下にあるJSONファイルを読み込んでいます。 EasyMock Serverは予め設定ファイルを使ってルーティングの設定をします。そしてリクエストされたURLに従ってJSONファイルを受け取って、リクエストされた内容を反映しながら返却するという仕組みです。GET/POSTなどもテストでき、ドキュメントも整備されるので便利そうです
livedoor Techブログ : 鉄道情報APIをロケタッチでリリースしましたのお知らせ
にどめまして!前回の住所正規化 APIが好評なようで花粉症が吹き飛んでいた Yappo です。 さて、今回は表題の通り鉄道情報 APIをリリースしたのお知らせです。 鉄道情報 API ってなに? 日本国内の鉄道路線や鉄道駅を検索する事が出来る API です。 例えば、路線一覧や山手線の駅一覧を JSON 形式で簡単に取得出来ます。 基本的にはデータソースとして駅データ様のデータを利用しているため、基本的には駅データの仕様に準拠していますが、ロケタッチ独自の情報を付与したデータを返しています。 使い方 使い方は簡単で、前回の住所正規化 API のように単純に GET リクエストを飛ばすだけで良いです。 例えば山手線の全駅リストを Perl で書きたい場合には以下のように書きます。 use strict; use warnings; use 5.016; use JSON; use LWP::
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
