連載
JavaScriptセキュリティの基礎知識
JavaScriptのコードがかつてなく増加し,コード内のバグ,ひいてはセキュリティ上の問題を引き起こす脆弱性も比例して増加する一方の現在に不可欠な 「JavaScriptに関連するセキュリティ上の問題はどういったところで発生するのか?」「どうすればセキュリティ上の問題を防ぐことができるのか?」 といったことについて解説していきます。
- 第8回 DOM-based XSS その3
- 一部のタグを許容してHTMLを組み立てる3つの場面
- サーバ側でHTML断片となる文字列を生成し,ブラウザ上でHTML内に流し込む
- あらかじめ定まった構造のHTMLをJavaScriptにて生成し,その一部にデータを当てはめる
- ユーザーからの入力に基づき,自由にHTMLを生成する
2016年11月29日
- 第7回 DOM-based XSS その2
- document.write/document.writeln~できるだけ使わず,代替手段を利用する
- eval~現在のブラウザならJSON.parseを利用する
- setTimeout/setInterval~引数では文字列ではなく関数を渡すようにする
- Function~引数にコントロール可能な文字列が渡らないようにする
- jQuery()/$()/$.html()~自分で書くときより挙動が見えにくくなるのでいっそう注意を
2016年11月16日
- 第6回 DOM-based XSS その1
- DOM-based XSSとは
- DOM-based XSSが厄介な理由
- DOM-based XSSの原因 ~シンクとソース
- DOM-based XSSを防ぐための3つの基本原則
2016年10月14日
- 第5回 問題を発生させにくくするURLの扱い方
- locationオブジェクト
- URLオブジェクト
- IEへの対応
- hrefプロパティに相対URLを設定したときに,href以外の各プロパティが正しく取得できない問題を解決する
- まとめ
2016年9月21日
- 第4回 URLとオリジン
- URLは想像以上に複雑なもの
- オリジンを利用してデータを保護する
2016年7月26日
- 第3回 Webセキュリティのおさらい その3 CSRF・オープンリダイレクト・クリックジャッキング
- CSRF(クロスサイトリクエストフォージェリ)
- オープンリダイレクト
- クリックジャッキング
- Webセキュリティのおさらい まとめ
2016年7月13日
- 第2回 Webセキュリティのおさらい その2 XSS
- XSSはどのようにして引き起こされるのか
- 反射型XSSと蓄積型XSS
2016年6月28日
- 第1回 Webセキュリティのおさらい その1
- はじめに
- 能動的攻撃と受動的攻撃
- Webアプリケーションで代表的な4つの受動的攻撃
2016年6月14日