ここを見て勉強することにしました。objectでも駄目ってこと？ http://harapeko.asablo.jp/blog/2007/04/05/1370980…ログオフ済みだったりしてもJSONデータがキャッシュされている場合もあるから？。うーん。（実体験で）

RFC4627では、"A JSON text is a serialized object or array." なのだそうだけれども、arrayではリスクを考えておく必要があるのだろう…きっと。ログインなどで認証済みのユーザにのみデータを与えたかった場合に、うんぬん。受動的攻撃でそのデータを抜か…

外部サイトのJSON(P)データに細工がしてあってscript要素では取り出せない場合…プロキシをかましておいて、プロキシでは当該JSON(P)データの最初と最後に[", "],みたいのを付与するとどうなんでしょう？JavaScript Hijacking がらみで・・・なんてことを妄想…