Web Application Development - SitePen Ajax JavaScriptアプリケーションの普及にともない開発者には特にAjax関連のセキュリティへの理解が求められている。そこでSitePenにおいて公開されている文書Security in Ajaxに注目したい。Kris Zyp氏によって執筆されたドキュメントで、Ajax JavaScriptアプリケーションにおけるセキュリティがまとめられている。次の内容がまとめられており、Webアプリケーション開発や保守における資料として活用できる。 クライアント(ブラウザ)からのアクセスに対してどうやってサーバリソースを保護するか ほかのサイトからのサーバへのアクセスをどうやって許可するか クロスサイトWebサービスからどうやってウェブページを保護するか JSONハイジャックにどう対処するか Kris Zyp氏はまずW
Enterprise Strategy Group: Go-to-market Expertise to Help You Win
Enterprise Strategy Group: Go-to-market Expertise to Help You Win
Enterprise Strategy Group: Go-to-market Expertise to Help You Win
Restricting Access to your AJAX Services Posted by gmurray71 on August 02, 2006 at 11:32 AM | Comments (6) Services like the XmlHttpProxy for Java are designed to return JavaScript that is evaluated on the client. Unfortunately, if you are not careful with the design of your services, JSONP techniques could be used to hijack your services. While I'm not saying JSONP is bad, I do highly recommend y
I might turn this into a more coherent article. For now, this ad hoc explanation will have to suffice. Since the birth of Ajax (the name, not the technology), there has been an increased interest in various client-side technologies, especially JavaScript. Those who have forged ahead in an attempt to innovate new ways of applying Ajax have inevitably run into the same-origin security policy of XMLH
ブックマーク経由でみかけたCodeWeb: 画像をアップロードする前にサムネイルを表示させる。 では、JavaScript を使ってファイルをアップロードする前にプレビューする方法が紹介されてました。input type="file" な input 要素の onchange ハンドラでごにょるというもの。 一方で、プレビューではなく、ファイルを追加した直後に特にボタンなどを押さず且つ画面遷移なしでファイルをアップロードできないものかと、ちょっと試行錯誤してみています。例によって XMLHttpRequest で Ajax るわけですが、残念ながらいまのところうまくいってません。 これまでに書いたコードは以下です。prototype.js を使ってます。 <input type="file" name="image" onchange=" if (this.value) { new Aja
Ajaxのセキュリティ対策状況 Ajaxのセキュリティは、各ブラウザのAjax実装である「XMLHttpRequest」で対策が行われています。それらのうち、今回は「SSLによる暗号通信」と「クロスドメインの制限」についてご紹介したいと思います。 SSLによる暗号通信 通常のWebページへのアクセスと同様、AjaxにおいてもSSLを利用した暗号通信を行い、ネットワーク上のデータ盗聴に対して備えることができます。Ajaxのプログラミング上では、URIのプロトコル「HTTP」を「HTTPS」に変更するのみでSSLによる暗号通信となります。しかし、Ajaxアプリケーションのロード後に、プロトコルを「HTTP」から「HTTPS」、もしくは「HTTPS」から「HTTP」へといった変更はできません。 クロスドメインの制限 Ajaxアプリケーションは、A)HTML部/B)JavaScript部/C)XM
The browser security model dictates that XMLHttpRequest, frames, etc. must have the same domain in order to communicate. That's not a terrible idea, for security reasons, but it sure does make distributed (service oriented, mash-up, whatever it's called this week) web development suck. There are traditionally three solutions to solving this problem. Local proxy: Needs infrastructure (can't run a s
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く