JSONが格納された環境変数から、JSONのキーの名前とその値で環境変数をセットするツールを作った - でこてっくろぐ ねお

2020/11/03 10 users JSON 盆栽 くろぐ 環境変数 紹介エントリ

2ヶ月くらいかけて毎日盆栽のようにちょっとずつ手を入れていたツールがまぁいい感じになってきたかなと判断したので、紹介エントリです。 どんなツール？ 以下のように、JSONが格納された環境変数があった時に、その環境変数名と、JSON内のキーからexportしたいキー名を指定すると、そのキー名で環境変数を設定しつつコ... 続きを読む

機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記

2013/05/17 557 users JSON nosniff やり取り Webアプリケーション

WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Ty... 続きを読む

JSONのエスケープをどこまでやるか問題 - 葉っぱ日記

2011/07/06 378 users JSON valid エスケープ Ajax 葉っぱ日記

Ajaxなアプリケーションにおいて、サーバからJSONを返す場合に、JSON自体はvalidであるにも関わらず、(IEの都合で)エスケープが不足していて脆弱性につながってる場合があるので、書いておきます。 発生するかもしれない脆弱性JSONのエスケープが不足している場合に発生する可能性のある脆弱性は以下の通りです。 JSON内に含まれる機密情報の漏えい XSSそれぞれの詳細については後述します。 ... 続きを読む