HTTPの事本当に理解してないなぁと思ったので

Ajaxアプリケーション & Webセキュリティ

• 作者: Christopher Wells,牧野聡
• 出版社/メーカー: オライリー・ジャパン
• 発売日: 2008/02/19
• メディア: 大型本
• 購入: 5人 クリック: 53回
• この商品を含むブログ (18件) を見る

適当にWebアプリ作ってたので、セキュリティーの事全然考えてなかったけど、コレは怖いと感じたのでメモ

Python使ってない人には、関係ないかもしれないです。

JSONのフォーマットと、Pythonの配列と辞書はまったく同じ書き方をします。Python使いとしてはこれは、便利だなぁと感じてました。そのままevalしちゃえばいいから・・・

実際いろんなところでevalしてるし・・・
まさか、JSON以外のレスポンスがくるなんて思ってもないし・・・
知らないことって怖いです。平気でレスポンスをevalしてました。

実際対策としては、実行コード送られてしまうかもしれないからsimplejsonとかかますしかないのかな？ということは、xmlでも利便性は変わらない。せっかく文言同じなのに・・・メリットがなくなってしもうたよ。

っていうか、JavaScriptもJSONをevalしてるんだけどこれも、良くないって事なのか？クライアントにはデータは無いから問題ないのかな？
いや、キー入力を監視してどこかに飛ばすコードを仕込まれることがあるのか？いや、他人のクライアントには無理か？

そもそも、悪いことをする発想が無い人は、セキュリティーを究極的に高めることは出来ないのじゃなかろうか・・？