Webアプリケーションに付き物なのは、やはりセキュリティ対策。
HTML5 APIを用いたWebアプリケーションにおいてもセキュリティは意識しなければなりません。
5/19のIT Mediaの記事、「
HTML5は安全か? 開発者が留意すべきセキュリティ問題」でも、以下のような対策が必要だと書かれています。
・SQLインジェクション 先日挙げた記事の、
web databaseに関するものです。
※SQLインジェクションとは・・・簡単にいうと、データベースへの不正なパラメータを送る攻撃
先日の記事で挙げたサンプルでは、
tx.executeSql("insert into storage (key, val) values (?, ?)", [key, value],
のように、パラメータを?文字で表しています。これを、
tx.executeSql("insert into storage (key, val) values (" + key + "," + value + ")",
のような書き方をしてはいけないということでしょう。
・クロスドメイン通信のセキュリティ 従来のJavaScriptでは、xmlHttpRequestを元のサーバにしか返せなかったのですが、HTML5では違うサーバにも遅れるようになったので、しっかりセキュリティを意識しないといけなくなったということでしょう。
---
今日も例によって帰りが遅かったので、サンプル作成に入れず。サンプルはおそらく週末になる予感です。
