コメントアウトでJSON(P)のデータを守れるのだろうか
朝ごはんをたべていたら思いついたのでどんなものなのか皆さんに伺ってみたくなりました。
ここでのコメントアウト法が果たして有効なのかどうか答えを知りたく思います。教えて君になっていますが、まことにすみません。
○クロスドメインアクセス対策例JSON、JSONP、JavaScriptで機密情報を配信する場合、クロスドメインアクセスの対策(=クロスドメインアクセスを不可能にする対策)が必要になります。
以下にSea Surfers MLで議論されていた方法を紹介します。
(一部省略 by hoshikuzu)
方法2.while(1)、およびコメントアウト法サーバ側がデータの先頭にwhile(1) {}をつける、または全体をコメントアウトした状態で返し、クライアント側でこれを取り除いてevalする方法です。方法1と考え方としてはほとんど変わりません。while(1)の方法はGMailでも使われています。
罠サイトがscript要素でJSONPデータを呼び出すさいに、charset属性において、utf-7を指定したらどうなるのでしょうか。utf-7の表現でコメントアウトを脱出することは可能なのでしょうか?たとえば、「*/」相当をutf-7表現であらかじめJSONPデータ内において汚染しておくなど。
たぶん、hasegawayosukeさんが既に調べつくしているとは思いますが(舌。そのほか、いったんimg要素でキャッシュさせてonerrorでうみゅぅとかのKanatokoさん方式とか。