第3回 JSONPでのクロスドメインアクセス | gihyo.jp
JSONPの動作原理 前回はAjaxに存在するセキュリティモデルであるSame-Originポリシーを紹介し、そのSame-Originポリシーを迂回する方法とセキュリティについて見てきました。また、回避する方法の1つめとしてリバースProxyを用いた方法を紹介しました。リバースProxyを用いた方法ではセキュリティ的な問題点もありましたが、そもそもProxyサーバを用意しなければならないため、この方法は手軽に使うことはできませんでした。 そこで考え出されたのがJSONP(JavaScript Object Notation with Padding)という方法です。 それではまず簡単にJSONPについて説明します。 Ajaxで使われるXMLHttpRequestオブジェクトには前回説明したとおりSame-Originポリシーがありクロスドメインアクセスはできません。一方、SCRIPTタグ
XSSワームが増加、高度化の傾向
McAfeeによると、クロスサイトスクリプティング(XSS)の脆弱性を突いて4大Webメールに感染するコンセプト実証ワームも出現しているという。 Webアプリケーションのクロスサイトスクリプティング(XSS)の脆弱性を突いたワームが増加し、高度化の一途をたどっているという。セキュリティ企業のMcAfeeが7月19日のブログで報告した。 McAfeeによると、XSSワームは古くは2002年に話題になったことがある。これは、Hotmailに存在するというXSSの脆弱性を悪用すれば、感染したユーザーのアドレス帳に登録された全員に電子メールを送信できるというものだった。 この種のワームは2006年になって増加し、WikiやYahoo! MailといったWebサイトのXSS脆弱性を突いた「Samy」「Yamanner」などのワームが出現。WebページのXSSの脆弱性を探し出す自動ツールも登場している
書評のお稽古: 書評 - ウェブアプリケーションセキュリティ - 徳丸浩の日記(2007-07-24)
_ 書評 - ウェブアプリケーションセキュリティ 金床氏の話題の新作「ウェブアプリケーションセキュリティ」が届いたので、ざっと目を通した。まだあまり紹介などが出ていないようなので、早い者勝ちで書評してみようと思う。 本を手にとって最初に思うことは、その大部さである。いまどき、箱入り、ハードカバーで494ページもあり、ずしりとした手ごたえを感じる。日常のリファレンスや満員電車のお供にするのであれば、もっと軽薄短小であって欲しいと思うところだが、本書の場合そうではない。その理由は後述する。 まず、本書の想定読者はどのような人だろうか。ウェプアプリケーションセキュリティの初心者でないことは確かだ。本書は内容にムラが多い。XSSや、CSRF、SQLインジェクション、セッション管理などについてはやたら詳しい代わりに、ディレクトリトラバーサル、コマンドインジェクション、ヘッダインジェクションについては
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
