2008-04-11 JSONに関する妄想ばなし 個人情報を含むないしょのデータを認証済みユーザにだけ見せたい場合に、JSONデータの先頭にwhile(1);あたりをつけるという例のやつですが。 XHRだけでしかアクセスさせません作戦。 受動的なわなページにおいて。script要素にlanguage属性をくっつけて、XMLだよん、とIEを説得し、XMLのパースエラーを拾うと、加工済みJSONデータを全部拾える・・・という怖い妄想はいかがですか? もちろん、コメントアウト作戦でもおなじ手筋が使えるという。 あるいは、CSSXSS作戦は? とか、Kanatokoさんに聞いてみる。わざと。(w