3分ã§åˆ†ã‹ã‚‹AngularJSã‚»ã‚ュリティ - teppeis blog先日ã®ng-mtg#4 AngularJS 勉強会ã§LTã—よã†ã¨æ€ã£ãŸã‘ã©ç”³ã—è¾¼ã¿ãŒé–“ã«åˆã‚ãªã‹ã£ãŸã®ã§ãƒ–ãƒã‚°ã«æ›¸ãã¾ã™ã€‚ 先月リリースã•ã‚ŒãŸAngularJS 1.2ã¯ã‚»ã‚ュリティãŒã‚“ã°ã£ã¦ã‚‹çš„ãªã“ã¨ã‚’èžã„ãŸã®ã§ã€ã‚»ã‚ュリティ周りã®ä»•çµ„ã¿ã‚’調ã¹ã¦ã¿ã¾ã—ãŸã€‚ ãŠé¡Œã¯ä»¥ä¸‹ã§ã™ã€‚ CSRF JSON CSP (Content Security Policy) Escaping CSRF ユニークãªãƒˆãƒ¼ã‚¯ãƒ³ã‚’HTTPリクエストã«è¼‰ã›ã¦ã‚µãƒ¼ãƒãƒ¼ã§ãƒã‚§ãƒƒã‚¯ã™ã‚‹å¯¾å¿œãŒä¸–ã®ä¸ã§ã¯ä¸»æµï¼ˆæœ€è¿‘ã¯ã‚«ã‚¹ã‚¿ãƒ ヘッダã®ãƒã‚§ãƒƒã‚¯ã«ã‚ˆã‚‹å¯¾ç–も) AngularJSã§ã¯ã€XSRF-TOKEN Cookieã«ãƒˆãƒ¼ã‚¯ãƒ³ãŒè¼‰ã£ã¦ã„ã‚‹ã¨ã€$httpを使ã£ãŸHTTPリクエストã®ãƒ˜ãƒƒãƒ€ã«è‡ªå‹•çš„ã«X-XSRF-TOKENヘッダーãŒä»˜ã。 XSRF-TOKEN Cookieã¯ã‚‚ã¡ã‚ã‚“Not HttpOnlyã§ã€‚ Angularç•Œã§ã¯CS
SSSSLIDE
{{#tags}}- {{label}}
{{/tags}}