ajaxのセキュリティーについて

jpcertの資料に

ajaxでは、攻撃者の用意した悪意あるwebサイトに<script>属性を使用して秘密情報を含むjsonを読み込ませ、javascriptとして解釈させることによりjson内の秘密情報にアクセスする

とゆう危険性が掲載されていたのですが、具体的な攻撃方法までは乗っていなかったため質問させていただきます。

この危険性についてですが、攻撃者はリクエストの際に、リクエストを受けとるサーバのスクリプトを読み込む処理を組み込むのだと思うのですが
レスポンスに機密情報を含まない場合は、サーバ内で読み取ったデータ、もしくはコードを解析される事は無いのでしょうか？(サーバではエラー処理を表示しないものとする)

2017/12/04 13:22

JPCERTの資料をURLを教えてください

行動規範の内容に同意します

回答2件

ベストアンサー

攻撃手法を書いた記事として以下があります。タイトルはvbscriptとありますが、vbscript以外の方法も書いています。

基本的にどの方法もブラウザ側で対策がとられているので、過度に心配する必要はありません。以下のレスポンスヘッダを出力することが推奨されますが、この攻撃以外にも広く有効なものです。

HTTP
1X-Content-Type-Options: nosniff

レスポンスに機密情報を含まない場合は、サーバ内で読み取ったデータ、もしくはコードを解析される事は無いのでしょうか？

こちらについては、maisumakunから回答がありますが、機密情報が含まれるか含まれないかは、攻撃の成否とは関係ありません。ただ、機密情報がないと、攻撃する意味がないというだけのことです。

投稿2017/12/04 14:12

総合スコア11701

「レスポンスに機密情報を含まない場合」＝もともと誰でも見られるもの、ということなので、わざわざ攻撃する価値はありません。

投稿2017/12/04 13:05

総合スコア145183

2017/12/04 13:18

回答ありがとうございます、解りやすく参考になります。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問