XMLHttpRequest と セッション (tonextone.com/type/)
PHP におけるセッション管理では、 $_GET ではなく、$_POST でもなく、$_COOKIE からセッションID を受け取り、 さらに、$_COOKIE 以外で半券(チケット)を受け取って、 セッションID と照合して正当性を確かめるのが定石だ。 1. $_COOKIE による受け取りが必要な理由: 1.1 悪意の第三者は、あなたのリクエストに含まれる $_GET, $_POST を、自由自在に変更する罠を作れる。 1.2 PHP ではリクエスト変数($_GET, $_POST, $_COOKIE)によってセッションID を指定できる。 したがって、 $_GET, $_POST でセッションIDを受け取るようなシステムでは、 悪意の第三者が仕掛けた罠によって、 悪意の第三者が指定したセッションID で、 あなたのセッションが開始される可能性がある。 2. $_COOKIE 以外での
window.nameによるクロスドメインXMLHttpRequestを実装してみる - snippets from shinichitomita’s journal
前回のつづき。 さて、大体 window.name によるクロスドメイン通信がどんなものかで、dojo のwindowNameモジュールがどんなことやってるかはわかった。個人的にdojoはすばらしいことをやっていると思うが、これだけのために常にdojoを使う気にはならない。ので、可能な限りポータブルなライブラリを実際に自分で実装してみることにする。 実装前におさえておきたい前提 クロスドメインでリクエストを送るためには、ターゲットとなるリソースが配置されているサーバの同一ドメイン上に、プロキシの役割を担うHTMLファイルがあらかじめ配置可能である必要がある。これはFlashで例えればcrossdomain.xmlのようなもので、リソース側がクロスドメインのリクエストをオプトインしている、と考えればよい。さらにポリシーを記述することができるという点でもよく似ている(これは後述)。 何らかの静
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
