PHPのイタい入門書を読んでAjaxのXSSについて検討した(3)~JSON等の想定外読み出しによる攻撃~ - ockeghem(徳丸浩)の日記
昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。今回はJSON等の想定外読み出しによる攻撃です。これら攻撃手法は本来ブラウザ側で対応すべきもので、やむを得ずWebアプリケーション側で対応する上で、まだ定番となる対策がないように思えます。このため、複数の候補を示することで議論のきっかけにしたいと思います。 まず、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajaxを利用したアプリケーションの概念図を引用します(同書P20の図1-23)。 前回、前々回は、(5)のHTTPレスポンスの前後で、JSON等のデータ作成(エンコード)に起因するevalインジェクションや、(5)のレスポンスを受け取った後のHTMLレンダリングの際のXSSについて説明しました。 しかし、問題はこれだけではありません。正常
PHPからストリーム出力して Ajax でリアルタイム更新する | PisukeCode - Web開発まとめ
Ajax から PHP を呼び出すとき、 普通の方法だと1回ぽっきりのレスポンスしか受け取れません。 でも次みたいな場合、リアルタイムにレスポンスを受け取りたいです。 データを常に画面上で更新したい場合 Twitterタイムライン的なのを作る場合 とにかくリアルタイム通信したい場合 僕もあるWebアプリを作っていて、リアルタイムレスポンスが必要でした。 ここでは自分の記憶の整理も兼ね、 PHPでストリーム出力して Ajax でリアルタイム更新する方法 を紹介します。 ストリーム出力の基本さえ知っていれば、意外と簡単にできます。 手順0.PHP + Ajax でリアルタイム更新する基本の流れ リアルタイム更新をする処理、これは2つの部分に分けられます。 サーバー側(データを更新する) ブラウザ側(データを受け取る) サーバー側では PHP を使ってストリーム出力、 ブラウザ側では Ajax
Ajaxを使ってWordPressからコンテンツを取得したい。 - かもメモ
WordPress製のサイトに独自のコンテンツなどを取得できるAjaxを作成する方法のメモ 呼び出すアクション名を決める Ajaxの送信先をjsから使えるように出力する Ajaxで呼び出される関数を作成する (PHP) フロントからAjaxでの呼出しを作成する (javascript) 1. 呼び出すアクション名を決める アクション名はPHPの関数名やnoce、jsのAjax内などで何度も使うので、どんな仕様にするか決めて仕様に合ったアクション名を先に決めておくのが良いと思います。 今回は my-ajax-action というアクション名にします。 2. Ajaxの送信先のパスなどの出力 WordPressのAjaxのリクエスト送信先 /wp-admin/admin-ajax.php のパスやnoneなどの情報をjavascriptのグローバル変数として出力する <?php // func
AjaxにおけるCSRF攻撃対策 - バカンス駆動開発
前回で近いうちにAjaxのセキュリティについて書きます!と宣言しましたが、あれはつまりCSRF攻撃の対策についてでした。今回はAjaxでCSRF対策を行う方法を書きます。 先に結論 Ajax通信におけるCSRF攻撃対策は通常の遷移時に施す対策と考え方はかわりません。 実装方法 ログイン時にトークンを生成しセッションオブジェクトにセットし、トークンをクライアントに送信 クライアント側のjsスクリプト内でトークンをAjax通信時に常に付加するように設定 サーバー側でAjaxで送信されたトークンの有無とセッションオブジェクト内のトークの一致を確認 ログアウト時にセッションは全て破棄 ここで生成するトークンはワンタイムではないです。ログイン時にずっと使いまわします。 ところで、パーフェクトPHPチルドレンとしては見逃せないエントリが CSRF対策のトークンをワンタイムにしたら意図に反して脆弱になっ
Ajax+pushStateでページ遷移したときにFacebookプラグインを更新する方法
jQueryだけで(Pjaxを使わずに)Ajax+pushStateする方法という記事を書きましたが、じつはAjaxでページを切り替えると、いろんな不都合が生じることが多いです。 とくに外部サービスのプラグインに多くて、ページを全部更新すれば正常なのに、Ajaxで更新したときだけエラーになることがよくあります。本当によくあります(^_^;) 原因としては、外部サービスのプラグインはだいたい、ページ読み込み後に独自のJavaScriptを実行するのですが、Ajaxでページの一部を変えてもプラグインが気づかないため、独自のJavaScriptが実行されずにエラーとなってしまいます。 ただ、気の利いたサービスならAjaxで読み込まれたときの対応方法が用意されています。例えば、Facebook。 ここSensebahnでも実装しているFacebookの「いいねボタン」をAjax対応にする方法をまと
WordPressでAjaxする方法をざっくりまとめておく
アドベントカレンダーには参加してないけど今日も今日とてWordPressネタの更新です。今年に入ってから17記事目ですよ。concrete5 Japan Inc.なんてやってるのにおかしいですね。 それはさておき月末の追い込み時に調べる時間がないのにまとまった資料がなくて困った件の覚え書き。30分で終わらせようと思ったのに1時間以上かかってしまった…。WordPressのAjaxはやり方が多すぎてとりあえずこうしとけというのがまとまってないように思います。どうせ山ほどあるWordPress本にも書いてないだろうしな。これでいいのかよく分からないので、間違ってたらツッコミお願いします。 んで、どうも wp_ajax_{action_name} または wp_ajax_nopriv_{action_name} というアクションフックで処理するのがよさそうである。noprivの方はログアウト中、
定期的にAjaxリクエストを送信してくれる「PeriodicalUpdater」
PeriodicalUpdaterは、定期的にpostもしくはgetリクエストを送信してくれるjQueryプラグインです。Twitterのタイムラインのように定期的にツイートをロードしてくれるようなやつです。自作しようと思ったのですが、あまりにもシンプルだったため、これを使用することにしました。ダウンロード スクリプト <script src="jquery.min.js" type="text/javascript"></script> <script src="jquery.periodicalupdater.js" type="text/javascript"></script> 実装 <div id="div1022"></div> <script type="text/javascript"> $(document).ready(function(){ $.PeriodicalU
jQueryだけで(Pjaxを使わずに)Ajax+pushStateする方法
Sensebahnのサイト内では、ページを遷移するときにページ全体の更新ではなくページの一部を書き換える方法をとっています。(2013/1/31のデザイン変更で廃止しました。) そうすることで、ページ全体を読み込むよりも速く遷移でき、さらに、画面がブランクになる瞬間が発生しないので目のチラツキを抑えられます。 仕組みとしてはAjaxを使います。 AjaxはJavaScriptで簡単に使うことができます。 JavaScriptを使って、Ajaxによりページの一部を、他のページの内容に書き換えるのです。具体的には、次のコードでやります。 example.html <script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.8.3/jquery.min.js"></script> <scri
jQueryでフォームをAjax送信する際の基本パターンのチュートリアル。二重送信の防御とか。 | Ginpen.com
仕事の進みがちょいとアレなので、現実逃避もとい気分転換に。 フォームの入力内容を、jQuery.ajax()を使ってサーバーへ送信したいって時のパターンです。 基本的な流れ フォームのsubmitを拾う 通常の送信はキャンセル 送信ボタンを無効化 送信先URLやフォームの入力値を取得 送信 受信後、送信ボタンを戻す 入力値をどう得るか、というのがポイントかと思います。 送信ボタンを無効化するってのはやらなくても良いんだけど、誤操作防止のためにも是非やって頂きたいと思います。あと送信ボタンの制御以外にも応用がききます。 デモ なんかお問い合わせフォーム的なものを用意しました。 まー実際にお問い合わせフォームをAjaxで送信する場面なんてないような気もするんですが、基本パターンという事で。
jQueryのAjaxを使用して外部htmlを読み込む
Posted: 2011.04.04 / Category: javascript / Tag: Ajax, jQuery Ajaxとは画面遷移なしで、データを取得したり表示したりできるあれです。最近のWebアプリケーションでは必須な技術らしいです。 知識としては知っていたものの実際使ったことがなかったので、かなり今更感が高いですが挑戦してみます。 Ajaxはサーバー側のプログラムの方が重要な気がしますが、ここでは静的なhtmlファイルを使用します。 まずは読み込まれる側のhtmlファイルを作成します。 load.html <li>読み込めたかな?</li> 読み込まれる側は「li」だけです。「load.html」という名前で保存します。 次は読み込む側です。 index.html <ul id="sample01"></ul> <p><a href="#" id="button01">ボ
PHPとjQueryの組み合わせでajaxなPOSTをMySQLに格納してみた
こんにちは かねしろ@pinkrootです。 昨日は久しぶりにPHPでのコーディングを行いました。 取り組んだのはPHPとjQueryを組み合わせて、あるボタンが押されたときにajaxなPOSTを飛ばして、その飛んでいったパラメータをMySQLに格納する、という文字での説明が難しい処理です(笑) イメージとしては、ボタンを押しても画面がリロード(更新)されず、処理の裏側でDBへのデータ格納を行なっている、という感じ。 備忘録的にやり方をまとめます。 HowTo 自分で作成するファイルは以下の3つ。 ユーザが閲覧してボタンを押す画面(index.html) ボタンが押されたら呼び出されるjavascriptファイル(post.js) バックボーンで動作し、MySQLでデータを格納するPHPファイル(post.php) 上記ファイルの他に、ajaxを使うためにjQueryのファイルが必要となり
Ajaxの日本語メールフォーム·AjaxMail MOONGIFT
メールフォームを作るのに大掛かりなアプリケーションは必要ない。個人的にはこうしたときにもっとも便利なのはPHPだと思う。手軽にWebアプリケーションが作成できるのが便利だ。 だが、単なるメールフォームではユーザの満足は得られない。ちょっと工夫したフォームこそ受けがいい。 今回紹介するフリーウェアはAjaxMail、Ajaxを使ったメールフォームスクリプトだ。 AjaxMailは日本人エンジニアのアプリケーションで、日本語が問題なく扱えるのが魅力だ。提供されるスクリプトも、シフトJIS、EUC-JP、UTF-8と各種エンコード向けが作られている。 Ajaxを使っているので、画面遷移がなくスムーズに操作できるのが魅力だ。郵便番号補完機能もあって、郵便番号を入力してフォーカスを移動すると、自動的に住所の文字列が入力される。入力エラーも画面遷移せずに評価されるので、ストレスが感じづらくなっている。
入力チェック共通クラス - 素人プログラマーのAjax実験室
こんにちわ、24日にクリスマスケーキを2日分×2人分を 嫁さんと買ってきたのですが、結局24日に全部食べてしまったジャクサーです(;´▽`) さて、前回まででAjaxによるデータのサーバー送信は出来ましたので、 今回は、そのサーバー側の処理を作りこんでみましょう。 サーバー側での使用言語はPHPとなります。 はじめに PHP側の処理では、主に入力チェックを行います。 Ajax実験としてはちょっとややこしくなるのですが、 PHPでの入力チェック等は今後も頻繁に出てきそうなので、 まずは入力チェックを行う、PHPの共通クラスを作成しましょう。 入力チェッククラスPHPのソース 汎用的な入力チェッククラスを作成すると、色々なメソッドが必要になりますが、 まずは今回の入力フォームのチェックで使用する部分だけ メソッドを実装してみましょう。 <? public class check { var $
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
jsコンソールさんにAjaxのgetが非同期だよ(?)と指摘される | monologue
Ajax中で、画面更新をせずにブラウザのアドレスバーの内容を変更 « KhmerBrains.NET
http://webcake.no003.info/webdesign/jquery-ajax-php-post-sample.html
http://www.cakephpcheatsheet.com/index.php