第5回　［さらに気になる］JSONの守り方

次は、JSONにおけるセキュリティ対策

　皆さんこんにちは、はせがわようすけです。第4回「［気になる］JSONPの守り方」はJSONPについて説明しましたので、今回は「JSON」についてもセキュリティ上注意すべき点について説明します。

　JSONは、XMLHttpRequestで受け取り、JavaScript上でevalするという使い方が一般的です。

　まずはサーバ側から送られる情報と、クライアント側での処理、それぞれの内容を見ておきましょう。

［サーバ側］ 

HTTP/1.1 200 OK
Content-Type: application/json;  charset=utf-8

{ "name" : "Yosuke HASEGAWA",  "email" : "hasegawa@utf-8.jp" }

［クライアント側］

if( window.XMLHttpRequest ){
    var xhr = new XMLHttpRequest();
    xhr.open( "get", "http://example.com/data.json",  true );
    xhr.onreadystatechange = function(){
        if( xhr.readyState == 4 && xhr.status == 200 ){
            var json = eval( "("  + xhr.responseText + ")" ); 
                              // 受け取ったJSONデータをevalする
            alert( json.email );
        }
    }
    xhr.send( null );
}

　では、JSONにはどのような注意点があり、どう対策すればいいのかを見ていきましょう。

JSON内の機密情報

　JSONは、そのままではクロスドメインでのデータの受け渡しができません。そのため、JSONを加工してクロスドメインでも扱えるようにしたものが「JSONP」であるというのは前回説明したとおりです。

　クロスドメインでのアクセスができないのであれば、JSONに機密情報を含めても問題なし……と考えたいところですが、攻撃者はあらゆるクロスドメイン制約を打ち破ることを常に考えています。実際に、JSONのクロスドメイン制約についても回避する方法がいくつか考えられています。

　JSONのクロスドメイン制約を回避する攻撃方法としては、例えば__defineSetter__を使う方法や、UTF-7を使う方法などが知られています。具体的な攻撃方法の詳細は省略しますが、いずれの方法でも、JSONを攻撃者サイト上で<script>要素を使ってJavaScriptソースとして読み込むことで、Same Origin Policyを回避し、攻撃者の用意したJavaScriptから、JSON内のデータへのアクセスを可能にしています。

　XMLHttpRequestを使って、正規のWebアプリケーションのみJSONを読み込めるようにし、攻撃者サイトからの<script>によるJavaScriptソースとしての読み込みを防ぐためにはいくつかの方法があります。その場合、POSTのみに対応し、GETでのリクエストではJSONを返さないという対策をお勧めします。これは、ほかの方法に比べ副作用が小さく、後に示すJSONによるXSSへの対策にもなるからです。

　それ以外の対策としては、XMLHttpRequestからのリクエストを明示するヘッダを付与するという方法もあります。

xhr.setRequestHeader( "X-Request-Source",  "XMLHttpRequest" );

　XMLHttpRequestによる正規のアプリケーションからの要求では、X-Request-Sourceリクエストヘッダが付与されますが、<script>などによる読み込みではヘッダが付与されません。サーバ側でリクエストヘッダの有無を確認し、正規の要求の場合のみJSONを返すようにします。

JSONによるXSS

　前回解説したJSONPの場合と同様に、JSONデータ内にHTML断片が含まれる場合、JSONに直接ブラウザでアクセスしたときにXSSが発生する可能性があります。

{ "name" : "<body  onload=alert(1)>" }

　このようなJSONをInternet Explorer（以下、IE）で直接開いた場合には、その内容からHTMLと判断され、攻撃者の仕組んだJavaScriptが動作する可能性があります（この例ではalertが表示されます）。

　対策としても前回同様、文字列を生成する場合には、半角英数字（a-zA-Z0-9）以外の文字はすべて\uXXXXの形式でエスケープし、文字列以外のtrue／false／null／数値を生成する場合には指定された値および数値などに合致しているか確認すればよいでしょう。

　また、前述のようにPOSTのみに対応し、GETでのリクエストではJSONを返さないようにしておくことで、万が一エスケープ漏れがあった場合でもXSSを防ぐことができます。

1/3

Index
［さらに気になる］JSONの守り方
	Page1 次は、JSONにおけるセキュリティ対策 JSON内の機密情報 JSONによるXSS
	Page2 JSON評価時の危険性 クロスドメインでのデータアクセス
	Page3 XMLHttpRequest Level 2、XDomainRequest利用の注意点は

教科書に載らないWebアプリケーションセキュリティ

	いまさらアルゴリズムを学ぶ意味 コーディングに役立つ！ アルゴリズムの基本（1）　コンピュータに「3の倍数と3の付く数字」を判断させるにはどうしたらいいか。発想力を鍛えよう
	Zope 3の魅力に迫る Zope 3とは何ぞや？（1）　Pythonで書かれたWebアプリケーションフレームワーク「Zope 3」。ほかのソフトウェアとは一体何が違っているのか？
	貧弱環境プログラミングのススメ 柴田 淳のコーディング天国　高性能なIT機器に囲まれた環境でコンピュータの動作原理に触れることは可能だろうか。貧弱なPC上にビットマップの直線をどうやって引く？
	Haskellプログラミングの楽しみ方 のんびりHaskell（1）　関数型言語に分類されるHaskell。C言語などの手続き型言語とまったく異なるプログラミングの世界に踏み出してみよう
	ちょっと変わったLisp入門 Gaucheでメタプログラミング（1）　Lispの一種であるScheme。いくつかある処理系の中でも気軽にスクリプトを書けるGaucheでLispの世界を体験してみよう
	more

　　Coding Edgeフォーラムフィード　 2.0／1.0／0.91