セキュリティ
AngularJS の $http サービスのXSRF対策について調べた AngularJS の $http サービスにはXSRF(CSRF)の対策の機能が実装されています。 (AngularJSでは、cross-site request forgeries の略を XSRF と呼んでいる場面が多くみられるので、ここではXSRFで統…
前回、こちらでHMAC SHA256で署名したJWT(+JWS)を作成していきましたが、今回はその検証を行っていきます。 takapi86.hatenablog.com rfc7519 に検証手順があるので、それを参考にしつつ流れを確認しました。 JWTをheader、payload、signatureに分割 分割し…
JWT とは JSONオブジェクトで、安全に2者間で情報をやりとりするための表現方法です。 RFC7519で定義されています。 JWS とは JSON Web Signatureの略、JWTのエンコード形式、デジタル署名、もしくはMACを行ったメッセージの表現 RFC7515で定義されています…
postMessageとは HTML5で拡張された機能 任意のウィンドウへクロスオリジン通信が可能 セキュアである 双方向の通信チャンネルが確立されてから通信を行う 悪意あるWebサイトから知らないうちにされないようにしているため 使い方(送信) win.postMessage("…
前回、こちらのエントリーにて、XMLHttpRequestが SOP の対象となった場合の動作を確認しました。 takapi86.hatenablog.com 今回は、Cross-Origin Resource Sharing (CORS)の仕様したがって、SOPで制限されている クロスオリジンへの XMLHttpRequest(XHR) を…
XMLHttpRequest(以降「XHR」と表記)が Same-Origin Policyの対象となった場合の動作を実際にリクエストを送信し、動作を確認しました。 今回はSame-Origin Policy周りの検証をしていくにあたっての第一弾として、今後はもう少し踏み込んだ内容でやっていく…
先日、以下のエントリーにて、4つあるOAuth2.0の認可フロー(Grant Type)からAuthorization Codeの流れを確認しました。 takapi86.hatenablog.com 今回は、TwitterAPIにOAuth2.0でツイートの検索ができるよう認可してもらい、実際に検索結果のjsonが返って…
OAuth、書籍やネット上の記事などから大まかに仕組みは理解していたのですが、具体的にリクエスト/レスポンスをどう送り合ってやりとりを行っているのかがよくわかっていませんでした。 OAuthの一連の流れを理解するために、今回は実際にOAuth2.0から認可し…