_ XSSI そういえば XSSI という攻撃があることを知った。 web サイトのオーナーができる種類の攻撃で、 cookie つきな JSON でなんかやってるサイトだと、 その JSON を全く関係ない web サイトを <script> で 読み込むことによってデータを盗める、と。 しくみとしては JSONP 的なのを逆に攻撃に使えるっていう まぁ当たり前の話ではあるけど、なるほどなと。 対策としては )]}' みたいな文字で JSON のレスポンスを開始して、 自分の JS 内ではこれを読み飛ばしてやればいいらしい。 他には POST しか受けないようにしちゃうとか、 XSRF 同様予想不能な ID とかを URL に含めるとかもいいらしい。 http://code.google.com/p/browsersec/wiki/Part2#Navigation_and_content