CrossSafe(安全にクロスドメインのJSONリクエストを行うライブラリ)を評価してみる http://www.ark-web.jp/sandbox/wiki/238.html

CrossSafe(安全にクロスドメインのJSONリクエストを行うライブラリ)を評価してみる

Kris Zyp氏が開発したCrossSafeというライブラリの評価を行ってみます。

CrossSafe: Secure Cross Domain JSON
http://ajaxian.com/archives/crosssafe

このライブラリはJSONP提供側のセキュリティではなく、(マッシュアップサービスを作るといった際に)JSONPの利用側が悪意のあるJSONPを読み込んでもなんとかしようとするもののようです。

CrossSafe
http://www.xucia.com/#CrossSafe

CrossSafe provides secure cross domain JSON requests and partially implements the JSONRequest specification (the get and cancel methods). 

チュートリアルがないので、ソースを読みながら理解した範囲をざっとメモしておきます。

最後の箇所が実際にはどのようにして試せばいいのかよくわからないままです^^;
なんかどんどん、www.が頭についてリダイレクトされちゃう・・orz

http://www.xucia.com/CrossSafe/readme.html
によると、Setupに

2. Configure your web server and DNS entries to allow requests from webservice.mydomain.com, webservice1.mydomain.com,... webservicex.mydomain.com, where x is the maximum number of different domains you will access with CrossSafe.

という記述があり、この辺が効いてるっぽい。

また、CrossSafe.*** で挙動を変更できるというようにも記述があるのですが、
オブジェクト化されていないので、

Load CrossSafe in your web page:

<script src="/CrossSafe/CrossSafe.js"></script>
<script>
  CrossSafe.directory = '/CrossSafe/';
</script>

とかしても、CrossSafe.directoryに入る前の/CrossSafe/CrossSafe.jsのロードで実行される環境がデフォルトのコンフィグレーションで動作してしまっている。

もうちょい要調査です。

投稿者進地 | パーマリンク

| append.gif

tag: Security, JSONP, JSON, CrossSafe?, CrossDomain?


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2007-09-27 (木) 11:19:45 (6028d)

アークウェブのサービスやソリューションはこちら