Perl/CGIが出力する値を隠したい。

CSVでまとめた文字列を、Ajax経由でPerl/CGIを実行して取得して、DOM ScriptingでHTMLに配置しています。つまり、JavaScriptのソースコードを見れば、誰でも簡単にCSVにまとめられた文字列を参照できてしまうことになると思います。環境変数などを使って防ぐ方法を思案してみたのですが、いいアイデアが浮かびません。同一サーバにあるJavaScriptファイルからしか参照できないようにする、みたいな、都合のいい方法は存在しますか？サーバサイドで他の言語を使っても同じ結果の気もしますし…。暗号化する、なんて高度なことはできませんし…。HTMLをPerl/CGIで丸ごと出力してしまうしかないのでしょうか…、でも、そうすると、どちらにせよDOM Scriptingを使えば簡単に参照できてしまうかもしれませんが…。

No.2 ベストアンサー 回答者： fujillin 回答日時： 2017/06/06 12:38

ANo1です。

＞直接リクエストをすれば、～～Ajaxを通さなくても返ってしまいますよね。
＞第三者が、そのCSVを利用して別のサービスができてしまう～～
データを表示している以上は、時間や手間をかければ全体像を把握されるのを完全に防止することはできないと思います。

ただし、簡単にはデータを抜き取られないようにすることは可能だと思います。
例えば、リクエスト元が自サイトであることをチェックするだけでもある程度は防止できるでしょうし、セッションを利用してアクセスを管理するといった方法もありそうです。

これだけでも、ある程度の制限にはなるでしょうし、その他にもいろいろ手段はあると思いますが、上にも記しましたように、公開している以上は、内容を完全に秘密にするというのは無理ではないかと思います。
（まぁ、公開の趣旨とも矛盾しますし）

この回答へのお礼

丁寧にお付き合いいただきまして、本当にありがとうございました。大変、参考になりました。公開するのに隠したい、確かに本当に矛盾していますね。

お礼日時：2017/06/07 10:29

No.1 回答者： fujillin 回答日時： 2017/06/06 11:02

こんにちは

＞Ajax経由でPerl/CGIを実行して取得して～
…とのことですから、
＞JavaScriptのソースコードを見れば、誰でも簡単にCSVにまとめられた
＞文字列を参照できてしまうことになると思います
…ということにはなりませんよね？
ソースにはCSVデータは記されていないのですよね？？

・・・とはいっても、
＞DOM ScriptingでHTMLに配置しています
なので、生データではないにしろ表示された値は当然ながら見ることができますし、そこから元のデータを推測することもある程度までは可能なはずです。

データを見せたくないのなら表示しないことになってしまうけれど、何か矛盾していませんか？

この回答へのお礼

ご回答いただきまして、ありがとうございました。禅問答のような質問にお付き合いくださいまして、本当にありがとうございます。

AjaxでリクエストしているcgiのURLはソースコードを見ればわかりますので、そのcgiにやり方を変えて直接リクエストをすれば、cgi
が出力するCSVのデータ（そのリクエストに沿ったごく限られた一部のデータですが）は、Ajaxを通さなくても返ってしまいますよね。回数を繰り返せば、CSVの全データを抜き出すことも可能なのではないでしょうか。また、やり方によっては、第三者が、そのCSVを利用して別のサービスができてしまうことになるのではないでしょうか。

お礼日時：2017/06/06 11:17