[さらに気になる]JSONの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) 次は、JSONにおけるセキュリティ対策 皆さんこんにちは、はせがわようすけです。第4回「[気になる]JSONPの守り方」はJSONPについて説明しましたので、今回は「JSON」についてもセキュリティ上注意すべき点について説明します。 JSONは、XMLHttpRequestで受け取り、JavaScript上でevalするという使い方が一般的です。 まずはサーバ側から送られる情報と、クライアント側での処理、それぞれの内容を見ておきましょう。 [サーバ側] HTTP/1.1 200 OK Content-Type: application/json; charset=
![[さらに気になる]JSONの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
久しぶりにCatalyst - 月日は百代の過客にして
やっと一息つける時間だ。というわけで卒業研究に向けて軽くCatalystをいじってみる。APIプログラミングにしたいんでView::JSONでほげほげしてみるテスト。 とりあえずViewで作りますが、TT作る要領で % script/testapp_create.pl view JSON JSON な感じでおっけ。さすがMVC。 で、どう使っていくかですが、stashに入れるみたいですがどのkeyを使うかを expose_stashで指定するみたいなのでconfigのyamlに View::JSON : expose_stash : TestValues って書くとstash->{TestValues}が使われるみたいで。そして試しにこう書いて sub test : Global { my ( $self, $c ) = @_; $c->stash->{TestValues} = { Ha
log4ZIGOROu : JSON::DWIW vs JSON::Syck vs JSON
date 2007-03-22 16:32:25 category CPAN permlink here comment 4 trackback 0 最近CPANにJSON::DWIWというJSON parserがリリースされて居ました。 このモジュールのPODにはBenchmarkの結果があり、JSON, JSON::Syckとのベンチ結果が載っていますが、なんとJSON::Syckより速いとの結果が出ています! ちょっと気になったので自分でもベンチマークを取ってみました。 ソース 下記のような感じです。 #!/usr/bin/perl use strict; use warnings; use Benchmark; use Data::Dump qw/dump/; use File::Slurp; use JSON qw(); use JSON::Syck; use JSON::DWI
ActionScriptでJSONみたいな事ができたらいいのに。 : blog.nomadscafe.jp
ActionScriptでJSONみたいな事ができたらいいのに。 ActionScriptでJSONみたいな事ができたらいいのに、できません。 FlashのActionScriptでも、Objectは、 var my_obj:Object={ foo:'bar', aaa:'bbb' } trace(my_obj.foo); のように書けたりします。 そこで、Ajaxで受信テキストをeval()で囲みJSON化(?)するように、 var my_str:String="{foo:'bar',aaa:'bbb'}"; var my_obj:Object=eval(my_str); trace(my_obj.foo); とやってみたけど、undefinedが出力されるだけでした。 残念。 XMLめんどくさいんだもんなぁ。
POSTとiframeでAJax - Practice of Programming
SumibiでJSONP使えないかなぁと検討していたんですが、GETだとログに文章が残ってしまうので、 プライバシーがなぁと。kiyokaさんはそのへんに気を遣っているので、僕もあんまりしたくないなぁ...と思ってたんですが。 iframe とPOSTを使ってなんとかなるかなぁとか、思い始めました。 1つでもいいんですが、簡単なんで、iframe を2つ作ります。 <iframe src="sumibi_form.html" id="iframe_sumibi"></iframe> <iframe src="sumibi_form.html" id="iframe_sumibi_target"></iframe>前者の方には、例えば、こんなの。 <html> <head> <title>hoge</title> </head> <body> <form name="test" id="te
UNIVERSAL::to_json リリース - Kentaro Kuribayashi's blog
UNIVERSAL::to_json なんてのをこさえたのですが、DIS られる悪寒をひしひしと感じながら、CPAN にうpってみたりしました。UNIVERSAL::to_yaml インスパイヤ。つか、autobox かっけ! use UNIVERSAL::to_json; my $obj = Foo->new; print $obj->to_json; { use autobox; # activate autobox print 'scalar value'->to_json; #=> "scalar value" print [qw(list items)]->to_json; #=> ["list","items"] print {key => 'value'}->to_json; #=> {"key":"value"} no autobox; # inactivate autob
[鏡] 入門 JSON 3 -- JSONP とコールバック関数 -- 戯れ言
最近 JSONP というのが話題になっているようですので, ここで簡単に紹介します。 JSONP (JSON with Padding)というのは JSON のデータフォーマットにちょっとした記述を加えて JavaScript の関数として呼び出せるようにしたものです。 JSONP については以下の記事に簡単な説明があります。(多分この記事が初出だろうという話です) Remote JSON - JSONP 例えば以下のような JSON データがあるとします。 { "name" : "Yasuhiro ARAKAWA" } JSONP ではこのデータに記述を加えて JavaScript 関数のようにしたものです。 分かりにくいですね。 具体的にはこのように記述します。 callback( { "name" : "Yasuhiro ARAKAWA" } ); "callback" の部分は関数
![[鏡] 入門 JSON 3 -- JSONP とコールバック関数 -- 戯れ言](https://cdn-ak-scissors.b.st-hatena.com/image/square/b9403aeb9e428539e1bdb60550747807cd52d387/height=288;version=1;width=512/https%3A%2F%2Fbaldanders.info%2Fimages%2Fattention%2Fremark.jpg)
subtechグループ - Bulknews::Subtech - JSONP
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
ちょっとしたメモ - application/jsonがRFC4627に
3月末にアナウンスされていたJSON仕様のRFCが、RFC 4627 The application/json Media Type for JavaScript Object Notation (JSON)として公開された。メディアタイプは表題の通りapplication/jsonで、標準ファイル拡張子は.jsonとなっている(拡張子の話は前回書き忘れた)。一部のミス修正以外は最終I-Dとほぼ同じ内容でRFCとなった。 XMLHttpRequestでの処理にはメディアタイプはあまり関係ないが、ブラウザで直接ファイルを開こうとするとapplication/jsonの場合はダウンロードが始まってしまう(Opera9では「XMLの解析に失敗しました」となる…??)。実用には支障ないものの、手軽にデータを確認できないのは残念なところ。.jsonにapplication/jsonをマッピングするか
Perl で YAML と JSON のベンチマーク比較 - Daio Today
Perl で YAML と JSON のベンチマーク比較 YAML や JSON が軽い!速い!と言われているが、どれくらい速いのか Perl モジュールでベンチしてみた。 ※個人的に興味があったのがデータの読み込み (Load) だけだったので、データの書き出し (Dump) はテストしていない。 結果的には、YAML と 比べて JSON の方が 6倍〜8倍高速。ただし、これはデータ量が少ない場合で、データ量が大きくなると 0.5倍〜0.8倍 と差が縮まってしまう。 また、YAML::Syck と JSON::Syck で比べると、データ量にかかわらずその差は数パーセント程度になってしまう。 ちなみに、Data::Dumper でダンプしたデータを eval したものとも比べてみたが、YAML を基準にすると eval は約50倍速く、YAML::Syck (と JSON::Syck)
XML を JSON に変換するサービス - ベータ版を公開 :: Drk7jp
JavaScript 2.0 支援ツール「XML 2 JSON service」って何? XML を JSON に変換するサービスです。この技術を用いることで、 クロスドメイン制限を超えて JSON 形式で XML 形式のデータを利用することが可能となります。 JSON は XML と比較して JavaScript 上で非常に扱いやすいため、コツを掴めば簡単に自分のサイトで利用できます。 既に幾つかのサイトで実装されていますが、不特定多数の方にサービス提供するために負荷対策を施し、XML 2 JSON service ベータサービスを公開することにしました。 最近良く聞く Ajax とは何が違うの? 最近、流行りまくっている Web 2.0 と呼ばれるものの基礎技術の1つとして Ajax があげられます。Ajax は大変便利な技術なのですが、セキュリティの観点から自ドメインへのアクセスしか
[鏡] 入門 JSON 2 -- 戯れ言++
「入門 JSON」が微妙に評判がいいみたいなので, 今回はもう少し踏み込んだ内容を書いてみたいと思います。 前回では JSON のデータフォーマットについて曖昧な表現や説明のまま流していますが, ここではもう少し厳密に見ていきます。 またもや長文です。 ご注意を。 なお, この記事は「Introducing JSON」(日本語訳)と併せてご覧いただくことをお奨めします。 前回は JSON のデータ型について連想配列(members)と配列(array)の2つがあると説明しました。 しかし実際にはもうひとつオブジェクト(object)という型があります。 実は JSON ではこのオブジェクトがデータの基本になっています。 (説明が長くなるので前回はこの部分についてワザと端折りました) オブジェクトは以下に示すようにブレス記号で囲んだ表現になります。 { } { members } ここで注意
[鏡] 入門 JSON -- 戯れ言++
ここではあまりプログラミングの話はしないのですが(私も今気がついた), たまにはいいでしょう。 今回は JSON というデータフォーマットのお話です。 めっさ長文です。 ご注意を。 (3/8 追記があります) 最近 JSON (JavaScript Object Notation)にハマってます。 JSON というのはごく軽量のデータフォーマットで, Javascript (というより ECMAScript と言うべきかもしれませんが)の言語仕様がベースになっています。 とはいえ, JSON 自体は Javascript からは独立していますので他の言語(C/C++, Java, C#, Perl, Ruby, Python など)でも問題なく扱うことができます。 JSON は以下の2種類のデータ構造の組み合わせでできています。 (JSON フォーマットの詳しい解説をご所望の方は「入門 J
JSONとContent-Type : blog.nomadscafe.jp
JSONとContent-Type サーバサイドからJSONを吐き出すときのContent-Typeなのですが、各ブラウザによって対応がちょっと違います。 下の表にまとめてみました。 ×のところはeval中にエラーがでます。 Content-type WinIE Firefox Safari Opera(8.5) text/javascript ○ ○ △ × text/javascript; charset=utf-8 ○ ○ ○ × text/javascript; charset=utf8(utf-8の間違い) × ○ ○ × text/javascript+json ○ ○ △ × text/javascript+json; charset=utf-8 ○ ○ ○ × text/html; charset=utf-8 ○ Safariでマルチバイトな文字を含む場合は、「charse
Collection & Copy - [翻訳]JSON in JavaScript
翻訳 原文:JSON in JavaScript JavaScriptは、 Netscape Navigator用のページスクリプト言語として広まった汎用のプログラミング言語です。Javaのサブセットであると広く信じられていますが、それは違います。Cのような構文とソフトオブジェクトをもつSchemeに類似した言語です。JavaScriptは、ECMAスクリプト言語仕様-第3版で標準化されました。 JSONの表記法は、JavaScriptのリテラルオブジェクトの表記法のサブセットです。JSONはJavaScriptのサブセットであるため、あれこれ悩まずにJavaScript言語で使用できます。 var myJSONObject = {"bindings": [ {"ircEvent": "PRIVMSG", "method": "newURI", "regex": "^http://.*"
naoyaのはてなダイアリー - JSON を Template-Toolkit で展開する Jemplate
Jemplate is a templating framework for Javascript that is built over Perl's Template Toolkit (TT2). Jemplate parses TT2 templates using the TT2 Perl framework, but with a twist. Instead of compiling the templates into Perl code, it compiles them into Javascript. かぜぶろさんや宮川さんがブックマークしてたので気になってちょっと見てみた新着モジュールの Jemplate。なかなか面白いです。Template-Toolkit で記述したテンプレートのテンプレート変数に JavaScript 上の JSON を展開させることができるという
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://kerolin.jspeed.jp/Computer/W2K/cflex070313.html
http://blog.33rpm.jp/technology/plagger-publish-json.html
http://b.hatena.ne.jp/entry/json/http://d.hatena.ne.jp/otsune/20060614/mixihate
feedtrans