前回めでたくクロスドメインからレスポンスもらえるようになったけど、Cookieが送れなかった件。 参考をよーく見直してみたら、なんかCookieセットできそうな文章を発見。で、再度お試し。 RPC側を次のように修正。Access-Control-Allow-Credentialsヘッダーを追加する。 <?php header('Access-Control-Allow-Origin:http://localhost'); header('Access-Control-Allow-Credentials:true'); header('Content-Type:text/plain;charset=UTF-8'); $msg = ' World'; if(isset($_COOKIE['_test_'])) { $msg = ' Again'; } else { setcookie('_te
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) 次は、JSONにおけるセキュリティ対策 皆さんこんにちは、はせがわようすけです。第4回「[気になる]JSONPの守り方」はJSONPについて説明しましたので、今回は「JSON」についてもセキュリティ上注意すべき点について説明します。 JSONは、XMLHttpRequestで受け取り、JavaScript上でevalするという使い方が一般的です。 まずはサーバ側から送られる情報と、クライアント側での処理、それぞれの内容を見ておきましょう。 [サーバ側] HTTP/1.1 200 OK Content-Type: application/json; charset=
IE8だと、クロスドメイン通信にJSONPを使ってもCookieヘッダを送信できない。 追記:最後に書きました、これはP3Pポリシーによるブロックでした。 これを、最近のブラウザだと大体実装されている XMLHttpRequest Level 2 の仕様で解決しようとしたのが始まり。 ↓によると、 Google App Engineでクロスドメイン通信 API側で 'Access-Control-Allow-*' なヘッダを設定してやると、出来るらしい。 ・・・が、XMLHttpRequest(or XDomainRequest) による クロスドメインリクエストまでは出来たけど、 Cookieヘッダの送信までは出来なかった。 ということで、参考にしたサイトややったとこなどのメモを残す。 IE8+jQueryによるクロスドメイン通信とXDomainRequestラッパ
jQueryなどを使いAjaxで通信などをしていると、他のサーバから直接JSONが取れたら便利なのにと思ったりします。 通常はこういったときはJSONPなどを使うのですが、もっと楽な方法は無いものかと探していたところ「Access-Control-Allow-OriginなるものをHTTPヘッダーに入れればできる!」という記事があったのを思い出し、夜中にフツフツと試してみました。 先に結論を書いておくと、冒頭の例え「他サーバから直接JSONを取る」には、他のサーバーが返してくるResponseのヘッダー部分に「Access-Control-Allow-Origin:"*"」と入っていると、受け取ったブラウザはJSONを処理してくれます。 このテクニックは特殊なテクニックではなく、いたって正攻法とのことでした。そのため、ほとんどのブラウザで同じく処理されます。複数のWebサーバのヘッダを調整
AWS (Amazon Web Services) professional services AWSに関するお問い合わせ:https://www.serverworks.co.jp/contact/ サーバーワークスエンジニアブログ:http://blog.serverworks.co.jp/tech/ aws serverworks lt大会 サーバーワークス ooishi_serverworks jawsug cloudworks cloud ec2 クラウド amazon web services cloud computing swx jobs lt workstyle vpc amazon hobby amazon connect workspaces devsumi jaws yakocloud security 事例紹介 netcloud iot soracom sier
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く