Same Domain Policy と Cross-Origin Resource Sharing (CORS) | WebLog about me.
#基本的には、面倒な話なのであるが・・・この種のプログラムを作る上では避けられない・・・ Webブラウザーの基本的なセキュリティー実装方針として、"Same Domain Policy"というのがあり、Cookieではそれが適応されているが、XMLHttpRequest(XHR)を通じた接続はどのような状況であろうか? ユーザーが、example.com にアクセスした場合、cookieはexample.comにしかcookieを送信しないようにしているのは、ブラウザーの実装による。cookieの生成元にしかcookieを送信しない。これで、example.comとユーザーとの間のみで、プライバシーに関連するような情報を保護しようと言うのである。わかりました。同意です。 ただし、formタグからサブミットする先、scriptタグから読み込まれたスクリプトの実行は、このポリシーが適応されてい
IEにおけるXMLHttpRequestの不具合
ExtJSを使っているとAjax通信を多用しますよね。 さて今日はIEでのAjax通信のお話。 とあるシステムでExtJS(バージョン3.3)のExt.Ajax.requestを使ってPOSTしている部分があるけど、なぜかたまーにコールバックに返ってこない場合がありました。しかもIEでばっかり起こる。パケットキャプチャしてみると、サーバー側にPOSTデータが送られてない。5分後にサーバー側でタイムアウトして、処理を中断してました。 IEはデータを送ったつもり でもサーバーには届いていない サーバーは5分間じっと待つけど、もう無理!って諦める IEはサーバーからの返答をじっと待つ サーバーとIEがすれ違いなんですね。気持ちが届かないって、はがゆいよね。 で、この現象、結論から言うと、IEのバグじゃないの?ってことです。英語ですが、こんな投稿をみつけました。 XMLHttpRequest PO
IEBlog : IE8 Security Part IV: The XSS Filter - 葉っぱ日記
IEBlog : IE8 Security Part IV: The XSS Filter について、記事を書いた David Ross さんに翻訳許可をもらいましたので、訳してみました。誤訳や指摘がありましたらガンガン突っ込みをお願いいたします(他の記事も時間をとって訳していこうと思います)。当然ながら、これは私が私的に訳したものであり、Microsoftによる公式な翻訳/見解ではありません。 (訳注追加) 「reflected / Type-1 XSS」というのは、攻撃コードが被害者からのリクエスト自身に含まれるタイプのXSSで、サーバ側のアプリケーションでユーザからのリクエストに含まれる攻撃コードを「反射的」に返すような種類のXSSです。典型的には「"><script>...」のような語を検索したときに <input type="text" value=""><script>..."
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
