サードパーティのウェブサイト、つまりGoogleサービスにサインアップしてJavaScriptを埋め込んだ人には、「ウィジェット」があります。サードパーティのサイトで実行されている安全なJavaScript
現時点ではすべての通信にJSONPを使用しています。私たちはiFrameを使用して人に安全にサインインしたり、アカウントを作成したりすることができます。 (本質的に、iFramesのソースが、クライアントドメインのタイトルから成功の値を読み取る前に、そのドメインを指し示すまで待つ)。
我々はJSONPで実行しているので、私たちはユーザーがログインしているかどうかを検出するために、ブラウザのHTTPクッキーを使用することができます。
しかし、我々はリアルタイムに実行するために我々のシステムを移行する過程で、Web経由のですソケット。私たちはまだ同じ認証方法を持っていますが、JSONPを使って他の呼び出しを行う必要はありません。代わりに、これらの呼び出しはWebSocket上で発生します(ライブラリFayeを使用)
これをどのようにして保護できますか?潜在的なセキュリティホールは、誰かが既存のサイトからJavaScriptをコピーして変更した場合、代わりにサイトにアクセスするようになる場合です。私は悪意のあるJavaScriptがそれを読んでから認証されたアクションを実行できるようになるので、これがログイン時に安全なトークンを返すという私の元の考え方を破ったと思う。
通常のJSONPと私のWebSocket上のアップデートより安全な動作を保つ方が良いですか?