クロスドメインでのデータ読み込みを防止するJavaScript ? - snippets from shinichitomita’s journal
GMailのコンタクトリスト漏洩のエントリのついでに。 JSONデータをscriptタグにのせて配信するサービス(JSONPなど)で、限られたサイトのみにしかそのデータを配信しないようにするためには、クライアントが送出してくるリファラ情報を使ってサービスコンシューマとなっているサイトを特定してアクセス制御する方法がある。 この方法はおそらく大部分のクライアント(ブラウザ)に対しては有効で、例えば実際にGoogle MapsなどもそれとAppKeyを組み合わせてサイトを判別しているっぽいのだけど、意図的にリファラ送出を切っているブラウザであったり、あるいはプロキシプログラムなどが自動的にリファラヘッダを除去してしまうようなクライアント環境に対しては無効になってしまう。 ということで、そんなクライアントでもなんとかならないだろうかと考えていたときにちょっと思いついた、もしかしたらこの方法なら許
JavaScript WSSE Header Generator
JavaScript WSSE Header Generator UserName: Password: Nonce: auto Created: auto Basic-Autentication Username: Basic-Autentication Password: Before X-WSSE: GET /atom/ HTTP/1.1 Host: localhost After X-WSSE: sha1.js base64.js KOSEKI Kengo <kengo at tt.rim.or.jp>
リンクのフィッシング - /.J SMBC「簡単!やさしいセキュリティ教室」(#844374)
問題3 [smbc.co.jp]の(1)は、文面に表示してあるURLとリンク先が違う、というものです。HTMLのソースはおそらくこういう風になっていると思います。 <a href="http://xxx/123.123.123/">https://direct.smbc.co.jp/</a> 数年前と違って、普通のメーラーはjavascriptがデフォルトでオフになっていますから、ここはこれでいいのです。 しかし、これがブラウザに表示されたhtmlなら、もう少し注意が必要です。 昔よくあったのが、直接ステータスバーを詐称するものです。 <a href="http://xxx/123.123.123/" onmouseover="window.status='https://direct.smbc.co.jp'">...</a> これは、すぐ見破ることが可能です。 で、現在よくあるのが、 <
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://labs.cybozu.co.jp/blog/kazuho/archives/2007/01/cross-site_including.php
