![](http://oshiete.xgoo.jp/images/v2/pc/qa/question_title.png?e8efa67)
JSONPのセキュリティについて質問させて下さい。
JSONPにはCSRFのセキュリティリスクがあるとされています。
その解説として下記のWebサイトがありました。
http://gihyo.jp/dev/serial/01/web20sec/0003?page=2
この中に、
「クエリストリングに推測不可能な文字列を含めておき,
JSONPファイルを読み出す場合にその値を用いて認証を行うようにします。
すると攻撃者はJSONPファイルのURLがわからなくなるため,
図2のように被害者に気づかれないようにリクエストを発生させる攻撃を防ぐことができます。」
とあります。
ただ、ここでいう、認証を行う、というの具体的にどういうことなのかがわかりません。
何をどう認証する仕組みを作ればいいのかがよくわかりません。
というか、そもそもこの認証になんの意味があるのかが不明です。
具体的には、
クライアントがJSONPを返すホスト(上記ウェブサイトでいう(h)ttp://mail.example.com/json.dat)
に対して何らかのリクエストを発行した場合、リクエスト内容である
そのクエリストリングに推測不可能な文字列を付与する、ということかと思うのですが、
それでどうやって、そのリクエストが不正なアクセスかどうか、を識別することができるのでしょうか?
推測不可能な文字列の付与は、おそらく被害者ユーザーのブラウザ(クライアント)から、
JSONPを返すのホストにへリクエストに対して行われることとなると思います。
ただ、そのリクエストに文字列を付与したところで、そのリクエストが
攻撃的意図で発行されているのか普通に発行されているのか、
は識別出来ないはないかと思い、困っています。。。
どなたかご回答くだされば幸甚です。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- その他(セキュリティ) IDと暗証番号・パスワードの管理の画期的かつ簡単便利な方法を考案した。他人に検証してもらう方法は? 5 2023/02/08 08:49
- ニュース・時事トーク 電磁波攻撃の脅威を今頃悟る日本他国より危機管理能力乏しすぎるのは何故? 知ろうとする事はできるのにあ 1 2022/04/01 20:21
- その他(セキュリティ) 役所など、情報系システムのセキュリティが弱くても業務システムに問題ないか 3 2022/11/02 16:38
- Amazon Amazonで悪質な出品者に遭遇してしまいました。 見分けることができず、反省しています。 新規出品 3 2022/11/28 18:17
- 法学 不正アクセス禁止法の扱いについて 4 2022/03/23 18:13
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ダブルクォーテーションを含む...
-
BCD形式で時刻を!
-
javaのCSVデータ読込についてです
-
C言語の変数(LSB)の合わせ込...
-
【Excel VBA】繰り返し処理がで...
-
matchesを否定文として使う方法...
-
java nビット目を読み取る
-
UINT64→UINT32[2]にする方法
-
ArrayListの要素数の上限
-
日付型の入力値チェック
-
hiddenの値を消したくない!
-
素朴な疑問
-
String str = "a\\\\b\\\\c";
-
実行シェルからCOBOLへパラメー...
-
struts ActionFormについて
-
DateTimePickerに値を入れたい...
-
CASL(CASL2)でこんな問題が...
-
ResultSetの内部構造(Java)
-
結合した文字列をファイル名に...
-
wsprintf関数の使い方について
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ダブルクォーテーションを含む...
-
wsprintf関数の使い方について
-
ArrayListの要素数の上限
-
BCD形式で時刻を!
-
javaのCSVデータ読込についてです
-
DateTimePickerに値を入れたい...
-
C言語の変数(LSB)の合わせ込...
-
JSPでHashMap・配列の変数の値...
-
matchesを否定文として使う方法...
-
JSPでの計算結果表示
-
hiddenの値を消したくない!
-
結合した文字列をファイル名に...
-
excel vba 時間計算と条件分岐...
-
実行シェルからCOBOLへパラメー...
-
long型に値を代入したい。
-
【Excel VBA】繰り返し処理がで...
-
Stringクラスの変数の格納アド...
-
PSQLExceptionが発生する
-
ResultSetの内部構造(Java)
-
String str = "a\\\\b\\\\c";
おすすめ情報