タグ

jsonに関するshoji1977のブックマーク (5)

  • JSONのエスケープをどこまでやるか問題 - 葉っぱ日記

    Ajaxなアプリケーションにおいて、サーバからJSONを返す場合に、JSON自体はvalidであるにも関わらず、(IEの都合で)エスケープが不足していて脆弱性につながってる場合があるので、書いておきます。 発生するかもしれない脆弱性 JSONのエスケープが不足している場合に発生する可能性のある脆弱性は以下の通りです。 JSON内に含まれる機密情報の漏えい XSS それぞれの詳細については後述します。 開発側でやるべきこと 文字列中のUnicode文字は "\uXXXX" な形式にエスケープするとともに、ASCIIな範囲であっても「/」「<」「>」「+」も同様にエスケープすることにより、前述の脆弱性を防ぐことができます。 Perlであれば、以下のような感じになります。JSON->ascii(1) に続けて、JSON文字列を正規表現で置換しているあたりがキモになります。 use utf8; u

    JSONのエスケープをどこまでやるか問題 - 葉っぱ日記
  • JavaサーブレットとJSON-libでできるiPhone向けAjax

    今回は、いよいよWebアプリを作ってみたいと思います。まずAjaxの基をおさらいし、後半で、前回の「iUIで始めるiPhone用Webアプリ開発の基礎知識」で紹介した「iUI」に組み込みます。 開発者なら当然知っているであろう、Ajaxの基 iPhoneでもAjaxの使い方はPC向けWebブラウザと一緒で、XMLHttpRequestオブジェクトを使ってWebサーバからXMLやJSONなどのコンテンツを取得して、それを基にJavaScriptHTMLを加工するという流れです。 リンクをクリックしたら、画面の一部(「replaceIt」というIDの<div>要素)にサーバで生成されるコンテンツを非同期で表示するには、以下のようなコードです。 1: <a href="javascript:void(0)" onclick="clickDiv()">クリックしてください</a> 2: <d

    JavaサーブレットとJSON-libでできるiPhone向けAjax
  • MOONGIFT : これは凄い!Yahoo! Pipesを解析&変換「pipe2py」 オープンソース・ソフトウェア/フリーウェアを毎日紹介

    pipe2pyはYahoo! Pipesの内容をPythonコードに変換する。 MOONGIFTはこう見る これは非常に面白い。Yahoo! Pipesはフィードを解析して変換したりするのにとても便利に使っているが、pipe2pyを使うとYahoo! Pipes上では難しかったデータ操作(認証系や基幹系との組み合わせ等)も自由に実装できるようになる。 さらにGoogle App Engineとの組み合わせが面白い。クローリングのタイミングや、フックスクリプトとして使ったりと色々な応用ができるはずだ。Pythonの勉強として使ってみるのも面白そうだ。 [/s2If] pipe2pyはPython製のフリーウェア(ソースコードは公開されている)。フィードを加工したり、テキストを読み込んで何らかの変換を行った後に再配信するようなシステムは数多い。特にフィードをJSON化するニーズは強く、それによ

    MOONGIFT : これは凄い!Yahoo! Pipesを解析&変換「pipe2py」 オープンソース・ソフトウェア/フリーウェアを毎日紹介
  • Mr. Data Converter

    Takes CSV or tab-delimited data from Excel and converts it into several web-friendly formats, include JSON and XML. Comments, suggestions and complaints are welcome at mr.dataconverter@gmail.com. Receive notices about upgrades and bugfixes on twitter: @mrdataconverter.

  • [さらに気になる]JSONの守り方

    XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) 次は、JSONにおけるセキュリティ対策 皆さんこんにちは、はせがわようすけです。第4回「[気になる]JSONPの守り方」はJSONPについて説明しましたので、今回は「JSON」についてもセキュリティ上注意すべき点について説明します。 JSONは、XMLHttpRequestで受け取り、JavaScript上でevalするという使い方が一般的です。 まずはサーバ側から送られる情報と、クライアント側での処理、それぞれの内容を見ておきましょう。 [サーバ側] HTTP/1.1 200 OK Content-Type: application/json; charset=

    [さらに気になる]JSONの守り方
  • 1