JSONPのセキュリティについて質問させて下さい。
JSONPにはCSRFのセキュリティリスクがあるとされています。
その解説として下記のWebサイトがありました。
http://gihyo.jp/dev/serial/01/web20sec/0003?page=2
この中に、
「クエリストリングに推測不可能な文字列を含めておき,
JSONPファイルを読み出す場合にその値を用いて認証を行うようにします。
すると攻撃者はJSONPファイルのURLがわからなくなるため,
図2のように被害者に気づかれないようにリクエストを発生させる攻撃を防ぐことができます。」
とあります。
ただ、ここでいう、認証を行う、というの具体的にどういうことなのかがわかりません。
何をどう認証する仕組みを作ればいいのかがよくわかりません。
というか、そもそもこの認証になんの意味があるのかが不明です。
具体的には、
クライアントがJSONPを返すホスト(上記ウェブサイトでいう(h)ttp://mail.example.com/json.dat)
に対して何らかのリクエストを発行した場合、リクエスト内容である
そのクエリストリングに推測不可能な文字列を付与する、ということかと思うのですが、
それでどうやって、そのリクエストが不正なアクセスかどうか、を識別することができるのでしょうか?
推測不可能な文字列の付与は、おそらく被害者ユーザーのブラウザ(クライアント)から、
JSONPを返すのホストにへリクエストに対して行われることとなると思います。
ただ、そのリクエストに文字列を付与したところで、そのリクエストが
攻撃的意図で発行されているのか普通に発行されているのか、
は識別出来ないはないかと思い、困っています。。。
どなたかご回答くだされば幸甚です。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・人生のプチ美学を教えてください!!
- ・10秒目をつむったら…
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・【大喜利】【投稿~9/18】 おとぎ話『桃太郎』の知られざるエピソード
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
JSPでHashMap・配列の変数の値...
-
ダブルクォーテーションを含む...
-
VB6,論理演算子Orの使い方がわ...
-
wsprintf関数の使い方について
-
12+21=1221??
-
空の場合を含む選択肢からのラ...
-
VBAで処理しようとしているので...
-
C言語の変数(LSB)の合わせ込...
-
素朴な疑問
-
excel vba 時間計算と条件分岐...
-
ファイルを開く際に規定のexeを...
-
n進数から10進数に変換するには
-
java キーボード入力された値の...
-
1~100までの数字を表示し、か...
-
BOOL値を逆にしたい
-
エクセルVBAで「〜」が表現でき...
-
Java配列でNullPointerExceptio...
-
パソコンキーボードで時分秒を...
-
IF関数でEmpty値を設定する方法。
-
コマンドライン引数の例外処理...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ダブルクォーテーションを含む...
-
wsprintf関数の使い方について
-
javaのCSVデータ読込についてです
-
ArrayListの要素数の上限
-
BCD形式で時刻を!
-
DateTimePickerに値を入れたい...
-
excel vba 時間計算と条件分岐...
-
日付や時刻の"01"を" 1"に変換...
-
Stringクラスの変数の格納アド...
-
C言語の変数(LSB)の合わせ込...
-
Evaluate()に文字列の形式の数...
-
char型での演算子
-
実行シェルからCOBOLへパラメー...
-
DOSバッチで変数の値を変数名に...
-
レジストリの値の取得のデータ...
-
hiddenの値を消したくない!
-
結合した文字列をファイル名に...
-
ResultSetの内部構造(Java)
-
String型の値が大文字か小文字...
-
javaの演算子の部分ですが 4行...
おすすめ情報