XHR XSS の話． - ほむらちゃほむほむ

2012/03/15 123 users ほむらちゃ XSS 起点 jQuery Mobile 大阪府警

概要 CORS が「幾つかのブラウザの先行実装」の状況から「古いブラウザではサポートされない機能」に変わりつつある頃合いなので，XHR2 が XSS の起点になりますよってお話． そもそも XHR XSS って何よ 簡単に言うとXHR2 による XSS のことのつもり．身近なところだと，jQuery Mobile がやらかしたり，大阪府警がやらかしたりした． 具体例1 jQuery Mobile ... 続きを読む

クロスオリジンなXMLHttpRequest2(XHR2)と独自ヘッダの落とし穴? | ありえるえりあ

2011/05/09 72 users ヘッダ 落とし穴 クライアントサイドJavaScript

JavaScriptのクロスドメイン通信で微妙な話があったので書いてみます。ちなみにクライアントサイドJavaScriptの話です。下記仕様に敬意を表して以下ではクロスオリジンと書きます。一般にクロスドメイン通信と呼ばれているものと同じ意味で使います。 Cross-Origin Resource Sharing XMLHttpRequest2(XHR2) WebブラウザからXMLHttpReque... 続きを読む