eval()に続いてもう一つ厄介なのが XMLHttpRequest だ。
サーバ側で使えるとめちゃめちゃ便利なのだがスクリプトと組み合わせると物の10分でスパムボットが作れてしまう。
悪意が無くても使い方をちょっと間違えるとドメインロンダリングになって XSS や CRSF を引き起こす。

しかし禁止するには余りにもったい無いので2つ制限を儲ける事にした。
1. 正規登録ユーザのみ使える。
2. 1日100回まで。個別に増減はできる。

で、何とか使える様にしたいな。

しかし、公開サーバでスクリプトを書けるようにするとセキュリティ上の問題が次々出て来る。
穴を完全に無くす事はできないだろうし予想よりだいぶきつい。
スケージュールが有るわけじゃ無いが完全に工数オーバーだ。