[気になる]JSONPの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
![[気になる]JSONPの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
django - javascript 間を JSON でやりとりする - 記憶は削除の方向で
ちょっと必要にかられたのでやってみたら、思ったより手間取ったのでメモしておく。 手間取った理由その1 0.97pre-SVN-6883 だと、django.utils.simplejson でモデルオブジェクトを JSON にできなくなってる。0.96のころはできたように思うんだけど。unicodeブランチのマージの影響か?仕方ないので django.core.serializers でシリアライズしてみたら、JSONとしては使いずらい結果になる。まあシリアライズだから当然か。子要素が展開されずにIDだけというのも困りもの。DTO的に使うのは不向きっぽい。 悩んでてても解決しそうになかったので、HTMLと同じようにJSONもテンプレートでレンダリングすることにした。同じようなことを考える人はいるもので、Django snippets にいいのがあった。 Django snippets: r
Djangoでjson出力 - kuma8の雑記帳
id:Voluntas さんお勧めのsimplejsonを使う方法も試してみた。 serializers と simplejson で出力結果が違うのは、気にしない。 実際に使うときは、 simplejson を使うほうが良さそうです。 # -*- coding: utf-8 -*- from django.http import HttpResponse from django.core import serializers from django.utils import simplejson from myp.ajax.models import User def ajax_xml(request): entrys = User.objects.all() values = serializers.serialize('xml', entrys) return HttpRespons
Django and AJAX
July 2, 2006 Django, JavaScript One hot topic that keeps coming up over and over again on the Django mailing lists and in IRC has to do with when Django will get “AJAX support”. There are two answers to that question; one can be stated with authority, and the other consists entirely of my own unofficial and non-binding opinion. Let’s start with the first: We’ve already got it, and more is on the w
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
