機密情報にJSONPでアクセスするな
2007年6月7日 はてなブックマークのコメントをうけて、「常にJSONP、JSON、JavaScriptに機密事項を含めないように」という主張を改め、「クロスドメインアクセスの対策をとっていない状態ではJSONP、JSON、JavaScriptに機密事項を含めないように」という主張に関して記述しました。 こんにちは、SEの進地です。 今回から週単位でWebアプリケーションのセキュリティに関するエントリーを書いていこうと思います。 僕自身、日々勉強して精進というところですので、もし何らかの誤りがあれば是非ご指摘ください。 つっこみ大歓迎です。 今回取り上げるのはWeb 2.0なアプリケーションでセキュリティ面で気をつけるべきことの一つ、機密情報にJSONPでアクセスするなです。 JSON(JavaScript Object Notation)はJavaScript(ECMAScript)の
JSONを使ってAJAXベースのアプリケーションを高速化する:CodeZine
恐れ入りますが、次のページ以降は公開後、一定期間を経過しますと、メンバーのみが閲覧可能とさせていただいております。 編集部としましては、メンバー登録していただくことで、より質の高いコンテンツやサービスを今後充実させていただくことが可能となると考えています。 お手数で恐縮ですが、ぜひご協力いただけると幸いです。 ログインはこちらから、 登録はこちらからどうぞ! サイトポリシーもご一読ください。 今後ともCodeZineをどうぞよろしくお願いします。
グラフ描画機能が追加されたJavaScriptライブラリ「Dojo 0.4」:phpspot開発日誌
dojo, the Javascript Toolkit: brought to you by the Dojo Foundation グラフ描画機能が機能追加されたJavaScriptライブラリ「Dojo 0.4」。 次のようなグラフがJavaScriptで描画することが可能です。曲線も美しいですね。一見Flashを使っているようにも見えます。 グラフ描画するためには、dojo.jsを読み込んで、次のようなコードを書きます。 dojo.require("dojo.collections.Store"); dojo.require("dojo.charting.Chart"); dojo.require('dojo.json'); // our sample data for our line chart. var json = [ { x: 0, y: 110, size:20, x2:
JavaScriptのテンプレートエンジンって夢想してたんですが - 神様なんて信じない僕らのために
JavaScriptのテンプレートエンジンがあって、JSON返したらクライアント側でViewを組み立ててくれるとかあったら便利だよなぁ、と思っていたらありましたよ。 Ajax Pages http://ajax-pages.sourceforge.net/ こりゃ面白い。jspというよりはPHPを書いているような感じで書ける。 Controllerのロジックが中に入ってこないので純然たるViewとして書けるし便利かもなぁ。 基本的にテンプレートは*.ajpファイルとして外に書き出すのですが、 一度クライアントが取得した場合、次からはキャッシュとして扱われるようになる(ことを期待している)ので、 通信が発生せず高速に処理できるのも利点のようです。 <% var hello = "hoge is dead"; %> <%=hello%> <div id="inner"> <ul> <% for
Life is beautiful: JSON COMETでリアルタイム・ページビュー・カウンターを作ってみた
最近Linuxの勉強もかねて作っているのが、超シンプルなアーキテクチャーのHTTPサーバー。そこそこ動き始めたのだが、それだけでは面白くないので、サーバー側からイベントに応じてデータをPushできるCometの機能を足してみた。 ストレステストのために、昨日からこのブログにこっそりとテスト用のIFRAMEを貼り付けてあったのだが(そのおかげで、バグを三つばかり見つけることができた―感謝、感謝^^)、安定して動き始めたので、見栄えを整えてこのブログの右上に貼り付けてみた。 題して、「リアルタイム・ページビュー・カウンター(RPV Counter)」。Totalはこのカウンターをリセットしてからのページビューの数、Currentはその時点でこのブログを見ている人の数(ただしノイズあり)、PeakはCurrentの過去最大値だが、ページを再ロードせずとも、それぞれのカウンターが自動的にアップデー
関数名固定のコールバックをJSONPと言うことについて - snippets from shinichitomita’s journal
http://jsonp.yatena.com/ 実際のJSONPデータをご覧頂ければわかりますが、callbackの関数名はkakaku_wsとなっております。 http://blog.livedoor.jp/dankogai/archives/50639200.html 送られてくるjsonpはこんな風になっています。 parse_yubin2jsonp('東京都','千代田区','千代田'); いや、そもそも現在主流のJSONPの解釈自体が提唱者の元々の定義からぶれているので、定義にこだわるつもりはあんまりない。 ただ、「xxxがJSONP対応したよ!」っていわれて、じゃあ試してみようと思ったら、自前のクライアントライブラリが使えなかったときというのがとても悲しい。自分でスクリプトタグをコードに書けばいいんだろうし、ページに結果を貼り付けるだけの小さな用途であればそれで十分なんだろう
[鏡] 入門 JSON 3 -- JSONP とコールバック関数 -- 戯れ言
最近 JSONP というのが話題になっているようですので, ここで簡単に紹介します。 JSONP (JSON with Padding)というのは JSON のデータフォーマットにちょっとした記述を加えて JavaScript の関数として呼び出せるようにしたものです。 JSONP については以下の記事に簡単な説明があります。(多分この記事が初出だろうという話です) Remote JSON - JSONP 例えば以下のような JSON データがあるとします。 { "name" : "Yasuhiro ARAKAWA" } JSONP ではこのデータに記述を加えて JavaScript 関数のようにしたものです。 分かりにくいですね。 具体的にはこのように記述します。 callback( { "name" : "Yasuhiro ARAKAWA" } ); "callback" の部分は関数
![[鏡] 入門 JSON 3 -- JSONP とコールバック関数 -- 戯れ言](https://cdn-ak-scissors.b.st-hatena.com/image/square/b9403aeb9e428539e1bdb60550747807cd52d387/height=288;version=1;width=512/https%3A%2F%2Fbaldanders.info%2Fimages%2Fattention%2Fremark.jpg)
snippets from shinichitomita’s journal - ブラウザからJSONで呼び出せるサービス一覧
ブラウザから動的スクリプトタグで呼び出せるJSONサービスの一覧。サービス利用にはHTMLとJavaScriptさえあればよいもののみ挙げている。JSONPであるとは限らない。オフィシャル/非オフィシャル問わず。知らないのがあったら誰か教えてください。 (追記)JSONP形式のサービスにはJSONPテストページへのリンクを追加しました del.icio.us ポスト一覧取得 http://del.icio.us/feeds/json/stomita (既定変数埋め込み) http://del.icio.us/feeds/json/stomita?callback=handlePosts (JSONP) →テスト タグ一覧取得 http://del.icio.us/feeds/json/tags/stomita (既定変数埋め込み) http://del.icio.us/feeds/json
ECナビ デベロッパー ネットワーク
ECナビデベロッパーネットワークは、開発者向けにECナビのサービスの紹介を行っていきます。また、開発者コミュニティは技術者同士の情報交換の場としても役立てていただけます。 ECナビでは、「ECナビデベロッパーネットワーク」を通じて、開発者の皆さんから新しいアイデアを寄せていただき、お客様にとってより便利なサービスを提供できるよう努めてまいります。ECナビの各種APIを利用することで、ECナビのサービスに保存されているデータを活用したり、ECナビ独自の機能を利用するといったことが可能となります。 ECナビは多様なサービスを提供するウェブサイトであると同時に、多彩な機能をもったプラットフォームでもあります。ECナビウェブサービスを、インタラクティブなウェブサイトの運営に、ECナビと連携するアプリケーションの開発に、まだ見ぬ可能性を秘めたユニークなサービスの構築に、どうぞご活用ください。
JKL.Dumper - JSONデータダンプクラス
JSON形式テキストに変数の内容をダンプするクラスです。 JavaScript の開発時にデータ構造を確認するのに使えます。 JavaScript ソースのダウンロードはこちら: jkl-dumper.js (右クリックして[対象をファイルに保存]を選択) Internet Explorer 6.0、Firefox 1.0、Opera 8.0 で動作確認済です。 サンプルソース var data = { string: "string", array: [ 1, 2, 3 ], hash: { key1: "value1", key2: "value2" }, data1: null, data2: true, data3: false }; var dumper = new JKL.Dumper(); // Dumperオブジェクトを生成 document.write( dumper.d
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
