【質問】p.83の上から4行目の内容について

[sho16 murabayashi]

以下の内容が理解できず。。。

「この際、サイトＢに置かれたJavaScriptを取得するリクエストでは、サイトBに対するクッキーが送信されます。そのため、利用者のサイトBでのログイン状態によって、サイトBに置かれたJavaScriptのソースコードが変化し・・・」

この文章の

「サイトＢに置かれたJavaScriptを取得するリクエスト」

とは、サイトAがサイトBからJavaScriptを取得するために

サイトAからサイトBへリクエストを送信していると理解し

ました。

次に、

「サイトBに対するクッキーが送信されます。」

の内容より、サイトBに対するクッキーとは

サイトAのクッキーをサイトBに送信するという

理解でよかったでしょうか？

最後に、

「サイトBに置かれたJavaScriptのソースコードが変化」

とありますが、何故サイトBのJavaScriptファイルが変化

するのでしょうか？

お手数ですが、この辺りご教授いただければ幸いです。

よろしくお願いいたします。

[徳丸浩]

こんにちは。徳丸です。

>  サイトBに対するクッキーとはサイトAのクッキーをサイトBに送信するという理解でよかったでしょうか？

違います。サイトBで元々セットしてあるクッキーです。

> 「サイトBに置かれたJavaScriptのソースコードが変化」とありますが、何故サイトBのJavaScriptファイルが変化するのでしょうか？

ファイルが変化するのではなく、JavaScriptを返すプログラムがクッキーに応じて応答を変化させる場合を指しています。

JSONPを返すAPIを想定した説明です。

2024年1月25日(木) 17:08 sho16 murabayashi <ms.s...@gmail.com>:

--
このメールは Google グループのグループ「「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML」に登録しているユーザーに送られています。
このグループから退会し、グループからのメールの配信を停止するには wasbook-reade...@googlegroups.com にメールを送信してください。
このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/wasbook-readers/4c8b825d-d8d2-4813-8f07-fc55075ef108n%40googlegroups.com にアクセスしてください。

--

徳丸浩 htok...@gmail.com

[sho16 murabayashi]

お忙しいところ、ご回答いただきありがとうございます。
JSONPでは同一オリジンの制限がないことを利用した
以下の内容と理解しました。

・サイトAからサイトBのスクリプトを読み込む
　→ 他のサイトのスクリプトを読み込む事ができる
・その際サイトBへセッションクッキーを送信する
　→ このセッションクッキーは、利用者のログイン状態によって変化する
・利用者のログイン状態によって取得できるJSONPのデータが変化する
　→ 意図しない情報が漏洩する可能性がある

以上、ありがとうございました。

2024年1月26日金曜日 22:32:57 UTC+9 徳丸浩: