非同期通信の注意点について読んだ。
HTML5では、以下のような非同期通信がある。
クロスドメインであるため、それぞれ注意が必要らしい。
XMLHttpRequest Level2
カスタムヘッダで接続先を制限する。
WebSocket
クライアント:Originヘッダを検証
サーバ:渡された情報を検証
安全な通信を行うWSS
JSON
サニタイジングを行うこと
HTML5ではデータの保存先もポイント
Cookieの代わりにWebStorageをつかえる
CSP(Contents Security Policy)ヘッダで設定を行うことができる
Webアプリ開発者のためのHTML5セキュリティ入門