【質問】p.83の上から4行目の内容について
79 views
Skip to first unread message
sho16 murabayashi
Jan 25, 2024, 3:08:56 AM1/25/24
to 「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML
以下の内容が理解できず。。。
「この際、サイトBに置かれたJavaScriptを取得するリクエストでは、サイトBに対するクッキーが送信されます。そのため、利用者のサイトBでのログイン状態によって、サイトBに置かれたJavaScriptのソースコードが変化し・・・」
この文章の
「サイトBに置かれたJavaScriptを取得するリクエスト」
とは、サイトAがサイトBからJavaScriptを取得するために
サイトAからサイトBへリクエストを送信していると理解し
ました。
次に、
「サイトBに対するクッキーが送信されます。」
の内容より、サイトBに対するクッキーとは
サイトAのクッキーをサイトBに送信するという
理解でよかったでしょうか?
最後に、
「サイトBに置かれたJavaScriptのソースコードが変化」
とありますが、何故サイトBのJavaScriptファイルが変化
するのでしょうか?
お手数ですが、この辺りご教授いただければ幸いです。
よろしくお願いいたします。
徳丸浩
Jan 26, 2024, 8:32:57 AM1/26/24
to wasbook...@googlegroups.com
こんにちは。徳丸です。
> サイトBに対するクッキーとはサイトAのクッキーをサイトBに送信するという理解でよかったでしょうか?
違います。サイトBで元々セットしてあるクッキーです。
> 「サイトBに置かれたJavaScriptのソースコードが変化」とありますが、何故サイトBのJavaScriptファイルが変化するのでしょうか?
ファイルが変化するのではなく、JavaScriptを返すプログラムがクッキーに応じて応答を変化させる場合を指しています。
JSONPを返すAPIを想定した説明です。
2024年1月25日(木) 17:08 sho16 murabayashi <ms.s...@gmail.com>:
--
このメールは Google グループのグループ「「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML」に登録しているユーザーに送られています。
このグループから退会し、グループからのメールの配信を停止するには wasbook-reade...@googlegroups.com にメールを送信してください。
このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/wasbook-readers/4c8b825d-d8d2-4813-8f07-fc55075ef108n%40googlegroups.com にアクセスしてください。
sho16 murabayashi
Jan 26, 2024, 9:25:52 PM1/26/24
to 「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML
お忙しいところ、ご回答いただきありがとうございます。
JSONPでは同一オリジンの制限がないことを利用した
以下の内容と理解しました。
・サイトAからサイトBのスクリプトを読み込む
→ 他のサイトのスクリプトを読み込む事ができる
・その際サイトBへセッションクッキーを送信する
→ このセッションクッキーは、利用者のログイン状態によって変化する
・利用者のログイン状態によって取得できるJSONPのデータが変化する
→ 意図しない情報が漏洩する可能性がある
以上、ありがとうございました。
JSONPでは同一オリジンの制限がないことを利用した
以下の内容と理解しました。
・サイトAからサイトBのスクリプトを読み込む
→ 他のサイトのスクリプトを読み込む事ができる
・その際サイトBへセッションクッキーを送信する
→ このセッションクッキーは、利用者のログイン状態によって変化する
・利用者のログイン状態によって取得できるJSONPのデータが変化する
→ 意図しない情報が漏洩する可能性がある
以上、ありがとうございました。
2024年1月26日金曜日 22:32:57 UTC+9 徳丸浩:
Reply all
Reply to author
Forward
0 new messages