Home > 技術 > Ajaxでのクロスサイトスクリプティングで気をつけたいこと

Ajaxでのクロスサイトスクリプティングで気をつけたいこと

ここが危ない!Web2.0のセキュリティで書かれていた内容が面白かったのでメモしておきます。

XSS(クロスサイトスクリプティング)は一般に広く知れ渡っているセキュリティホールですが、Ajaxを使った場合はさらにサニタイジングを意識しなければなりません。
例えば一般的にAjaxで通信する場合、~~.doや~~.cgiなどの動的プログラムを呼び出しますが、単純に~~.txt、~~.csvといったファイルを指定することも可能です。
この場合ファイルの中身は普通なテキストを想定していますが、HTMLタグやスクリプトが記述されていた場合にクライアント側で実行をしてしまうということです。

ということを回避するには、

  • ファイルに対してアクセスさせない
  • JavaScript側でdocument.writeをする前にサニタイジングを行う

といったことをしなければなりません。
JavaScript側でのサニタイジングを行うのは、ちょっと面倒なので、単純にファイルにアクセスさせないほうで実装したいもんです。
基本的にはクライアントにHTMLを返す直前でサニタイジングしたいですね。

Trackback:0

TrackBack URL for this entry
http://hisasann.com/cgi-bin/mt/mt-tb.cgi/229
Listed below are links to weblogs that reference
Ajaxでのクロスサイトスクリプティングで気をつけたいこと from HouseTect, JavaScriptな情報をあなたに

Home > 技術 > Ajaxでのクロスサイトスクリプティングで気をつけたいこと

Tag cloud
月別アーカイブ
Powered by
Powered by
Movable Type Commercial 4.261

Page Top