name_untitledのエッセイ

IT関係で知ったことなどを記事としてあげていきます。内容に不備や質問などあればぜひコメントをよせてください。

非同期通信の注意点について読んだ。

HTML5では、以下のような非同期通信がある。
クロスドメインであるため、それぞれ注意が必要らしい。

XMLHttpRequest Level2
 カスタムヘッダで接続先を制限する。
WebSocket
 クライアント:Originヘッダを検証
 サーバ:渡された情報を検証
 安全な通信を行うWSS
JSON
 サニタイジングを行うこと

HTML5ではデータの保存先もポイント
Cookieの代わりにWebStorageをつかえる

CSP(Contents Security Policy)ヘッダで設定を行うことができる


Webアプリ開発者のためのHTML5セキュリティ入門