関数名固定のコールバックをJSONPと言うことについて - snippets from shinichitomita’s journal
http://jsonp.yatena.com/ 実際のJSONPデータをご覧頂ければわかりますが、callbackの関数名はkakaku_wsとなっております。 http://blog.livedoor.jp/dankogai/archives/50639200.html 送られてくるjsonpはこんな風になっています。 parse_yubin2jsonp('東京都','千代田区','千代田'); いや、そもそも現在主流のJSONPの解釈自体が提唱者の元々の定義からぶれているので、定義にこだわるつもりはあんまりない。 ただ、「xxxがJSONP対応したよ!」っていわれて、じゃあ試してみようと思ったら、自前のクライアントライブラリが使えなかったときというのがとても悲しい。自分でスクリプトタグをコードに書けばいいんだろうし、ページに結果を貼り付けるだけの小さな用途であればそれで十分なんだろう
JSONPはセキュアでないのか? - snippets from shinichitomita’s journal
JSONPという強力なAjaxアプローチが認知されだしたとたん、JSONPってセキュリティ的にやばいんじゃないの、という話がそこらここらで聞かれる。注意して使った方がいいよー、とか、どうなっても知らないよー、とか。 JSONPで軽量Webサービスインフラを、と提唱してる身としては、もしほんとにリスクが大きいのであれば早めに何とか手を打ちたいわけです。 とりあえずこちらで思いつく限り、JSONPのリスクっぽいものをあげてみる。 まず最初に思いつくのが「これってクロスサイトスクリプティングじゃないの?」という話。なんか文字だけ捉えるとそれっぽいね。確かにクロスサイトだし、スクリプトだし。 クロスサイトスクリプティング(XSS)とは 動的にWebページを生成するシステムのセキュリティ上の不備を意図的に利用し、サイト間を横断して悪意のあるスクリプトを混入させること。また、それを許す脆弱性のこと。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
