jpcertの資料に
ajaxでは、攻撃者の用意した悪意あるwebサイトに<script>属性を使用して秘密情報を含むjsonを読み込ませ、javascriptとして解釈させることによりjson内の秘密情報にアクセスする
とゆう危険性が掲載されていたのですが、具体的な攻撃方法までは乗っていなかったため質問させていただきます。
この危険性についてですが、攻撃者はリクエストの際に、リクエストを受けとるサーバのスクリプトを読み込む処理を組み込むのだと思うのですが
レスポンスに機密情報を含まない場合は、サーバ内で読み取ったデータ、もしくはコードを解析される事は無いのでしょうか?(サーバではエラー処理を表示しないものとする)
回答2件
あなたの回答
tips
プレビュー