JSONハイジャックについて調べる
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
- 作者: 徳丸浩
- 出版社/メーカー: ソフトバンククリエイティブ
- 発売日: 2011/03/03
- メディア: 大型本
- 購入: 119人 クリック: 4,283回
- この商品を含むブログ (136件) を見る
まずはどういったものなのか調べるっと→ない。。。。
気を取り直してググってみる
JSONを罠サイトからscript要素で読み出す
現在の主要ブラウザでは対応ずみらしいがAndroidブラウザでも発生するらしい
IETestでIE8でも発生するのを確認、あとxperiaでも
対策としてはpost呼び出しにする。JSONをJavascriptで呼び出せないようにするなどがあるが、推奨されているヘッダーにjqueryなどの主要モジュールで付与されるX-Requested-With:XMLHttpRequestをサーバ側で確認する方式で対応した。