Kazuho@Cybozu Labs: 安全な JSON, 危険な JSON (Cross-site Including?)

« クロスサイトのセキュリティモデル | メイン | E4X-XSS 脆弱性について » 2007年01月06日 安全な JSON, 危険な JSON (Cross-site Including?) 先のエントリで、 JSON については、JavaScript として副作用をもたない (もたせようがない) ゆえに文法違反であるがゆえに、秘密情報を含むデータフォーマットとして使用することができるのです。 (Kazuho@Cybozu Labs: クロスサイトのセキュリティモデル) と書いたのですが、認識が甘かったようです。Jeremiah Grossman: Advanced Web Attack Techniques using GMail によると、配列の初期化演算子 [] の動作を外部から変更することができる注1とのこと。 実際に手元の Firefox 1.5 で試してみたところ、JS

[ono_matope]

POSTメソッド＋オブジェクト返却で良さそう。情報取得なのにPOSTってREST的に気持ち悪いけど仕方ないか

[webmarksjp]

security

[shinichitomita]

配列は危険

[nilab]

Kazuho@Cybozu Labs: 安全な JSON, 危険な JSON (Cross-site Including?)

[koyhoge]

既存のオブジェクトを何でもいじれるので危険

[the-day]

JSON

[silver_arrow]

メモ。

[nihen]

「Ajax で返す秘密情報については、GET メソッドでのアクセスを拒否し、POST メソッドのみ許可するように設定すべきだろう」なるほど。

[miya2000]

FFだけみたいだけど脆弱性か仕様か。/文法勘違いしてた。javascript:{a:'a'}は○でjavascript:{'a':'a'}(JSON)は×。ちなみにjavascript:var a={'a':'a'}は○。/結局秘密情報はPOST限定(CSSXSSと同じ)でいいのか。

[hiro_y]

「JSON データが配列として返される場合は、サイトをまたいで参照できる」

[akiyan]

ぎゃーこれは怖い。ってか応用きかせていろいろできたりしそうなんだけど。JSONじゃなくても普通にスクリプトで...。

[terazzo]

{}に[]が入っててもダメ？JSON送り出し専用ホストにするしか。

[youpy]

配列の初期化演算子 [] の動作を外部から変更することができる

[secondlife]

Array 書き換えるのかー