2008-04-05から1日間の記事一覧
ここを見て勉強することにしました。objectでも駄目ってこと? http://harapeko.asablo.jp/blog/2007/04/05/1370980…ログオフ済みだったりしてもJSONデータがキャッシュされている場合もあるから?。うーん。(実体験で)
RFC4627では、"A JSON text is a serialized object or array." なのだそうだけれども、arrayではリスクを考えておく必要があるのだろう…きっと。ログインなどで認証済みのユーザにのみデータを与えたかった場合に、うんぬん。受動的攻撃でそのデータを抜か…
外部サイトのJSON(P)データに細工がしてあってscript要素では取り出せない場合…プロキシをかましておいて、プロキシでは当該JSON(P)データの最初と最後に[", "],みたいのを付与するとどうなんでしょう?JavaScript Hijacking がらみで・・・なんてことを妄想…