Web系雑記: [セキュリティ] クロスドメインクッキーインジェクション
Cookie Monster襲来! 戦え、星野君 http://www.atmarkit.co.jp/fsecurity/rensai/hoshino06/hoshino01.html WebブラウザにCookieがセットされるとき、Cookieにはdomain属性というものが付けられる。特に指定がない場合はアクセスしているWebサーバのホスト名、指定がある場合はアクセスしているURLのドメイン名に後方一致していればそのdomain属性で保存される。 MozillaやFireFoxでは.co.jpなどの属性型ドメイン名に対してCookieを発行できる仕様になっている。また、Internet Explorerでは.tokyo.jpなどの地域型ドメイン名に対してCookieを発行することができる仕様になっている。この仕様を悪用してCookieを操作する攻撃は、「クロスドメインクッキーインジェク
Web系雑記: Ajaxでクロスドメイン処理
当ブログのアクセス解析をしていると、googleで「クロスドメイン ajax」で 検索してこられる方がいらっしゃいました。 たぶん、そういう方の思っている記事を今まで書いてなかったので紹介程度 に書いておきます。ご存知の方も多いと思いますが。 本題。 Ajaxの弱点のひとつは、別ドメインのコンテンツ(XML)などを直接取得 できないことにある、といいます。 その弱点に対する解は「JSON」。(他にも方法あります) JSONは「軽量なデータ交換フォーマット」であり、JSON経由で データを取得する分には別ドメインとか関係ないわけです。 で、XMLをJSONに変えてくれるサービスなんかもあるので、この サービスを間に挟めば別ドメインのXMLデータをJSON経由で 取得できるようです。 試してませんが。何かのヒントに。 ・XML を JSON に変換するサービス - ベータ版を公開 :: Drk
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
