• はてなブックマーク
  • 暮らし
  • はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
  • Twitterでシェア
  • Facebookでシェア

はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知

暮らし カテゴリーの変更を依頼 記事元:subtech.g.hatena.ne.jp/mala
適切な情報に変更
688 usersがブックマーク コメント67

    記事へのコメント67

    • 注目コメント
    • 新着コメント
    rryu
    rryu $()の仕様の罠にはいつか誰かが引っかかると思っていたが、$("#<tag>")も要素生成とみなされるというのはさすがに罠過ぎる。

    2011/06/24 リンク

    その他
    amachang
    amachang jQuery の XSS 興しやすい問題/ああ、たしかに。複数の文法を取る可能性がある引数へのエスケープってめちゃくちゃ大変だ…。そのエスケープ方法自体が jQuery に依存することになるし、保守も大変。やっかいな問題だなあ

    2011/06/24 リンク

    その他
    hasegawayosuke
    hasegawayosuke あとで // https://gist.github.com/1044967 こんなんでいいのかな…。// https://twitter.com/#!/bulkneets/status/84444587728449536 ああそりゃそうか。

    2011/06/24 リンク

    その他
    taqpan
    taqpan 『ユーザー入力値をバリデーションせずに $()関数に渡している』 ←jQuery云々以前に、これを是とする感覚がプログラマとしてアウトじゃね。

    2011/06/25 リンク

    その他
    cyokodog
    cyokodog 使い方の問題。気楽に入力値を$関数に渡すのはちょっと・・

    2011/06/24 リンク

    その他
    kmachu
    kmachu $()関数が検索とDOM生成の両方の役割を持っているとこが、問題の発見を難しくしている。DOM生成は$.html()にする案がいいなぁ。

    2011/06/25 リンク

    その他
    efcl
    efcl jQueryの$()セレクタが、任意の要素を生成できてXSSを誘発しやすい。 $(location.hash)のような Sinks をセレクタに指定した場合などの危険性。 http://dominator.googlecode.com/files/DOMXss_Identification_and_exploitation.pdf

    2011/06/24 リンク

    その他
    y-kawaz
    y-kawaz まぁ、普通そういう使い方しないわな。外部入力から何かしらの構文を文字列で自分で構築するっていう発想自体が危険。

    2011/06/24 リンク

    その他
    sanata0130
    sanata0130 XSS対策的な

    2013/01/25 リンク

    その他
    masterq
    masterq Webが存在する以上、勉強しなくては。。。悔しいけど

    2012/10/20 リンク

    その他
    cnomiya
    cnomiya 修正方法::$() 関数に渡す文字列が /\s*</ で始まらない限り("<"で始まるか、空文字列の後に"<"で無い限り)タグ生成にならないようにする|影響は要調査

    2011/07/14 リンク

    その他
    rna
    rna jQueryの$()関数が万能すぎて気が付かないうちにXSSを引き起こす使い方になっていることが多い、という話。

    2011/07/07 リンク

    その他
    wata88
    wata88 $("#<tag>")でも要素生成になってしまうんか・・・ユーザー入力をそのまま使うのが悪いんだけども。

    2011/07/01 リンク

    その他
    ji_ku
    ji_ku Bylineから jQueryにおけるXSSを引き起こしやすい問題について jQueryのマイナーバージョンアップがリリースされて取り敢えずバージョンアップしましょう、みたいになる状況を想定してたんだけど1ヶ月以上経ってしまったので

    2011/06/28 リンク

    その他
    juner
    juner 勉強になる。QT:jQueryにおけるXSSを引き起こしやすい問題について - 金利0無利息キャッシング – キャッシングできます - subtech

    2011/06/27 リンク

    その他
    Layzie
    Layzie みんな書いてるけど、ユーザー入力値をまんま、$()関数はちょっとなあ…と。まあ危険性はjQueryが持ってるものではあるんだろうけど。

    2011/06/27 リンク

    その他
    kitoku_magic
    kitoku_magic 今、大人気のjQueryにこんな厄介な問題があるとは・・・かなりビックリしました。個人的には関係ないのが幸い。

    2011/06/27 リンク

    その他
    hidehish
    hidehish 見てる:

    2011/06/26 リンク

    その他
    packirara
    packirara やってないと思うけど気をつけよう…

    2011/06/26 リンク

    その他
    totttte
    totttte これって結構多そうな気がする。 >ユーザー入力値をバリデーションせずに $()関数に渡している

    2011/06/26 リンク

    その他
    taqpan
    taqpan 『ユーザー入力値をバリデーションせずに $()関数に渡している』 ←jQuery云々以前に、これを是とする感覚がプログラマとしてアウトじゃね。

    2011/06/25 リンク

    その他
    uzimith
    uzimith はへー。

    2011/06/25 リンク

    その他
    kogawam
    kogawam (後で調べる)

    2011/06/25 リンク

    その他
    hiro_y
    hiro_y ユーザー入力値をvalidationせずに$()関数に渡すの危険

    2011/06/25 リンク

    その他
    NAT
    NAT $()関数がタグ生成にも使えるとは知らなかった・・・。ユーザーの入力値を一部でも渡す時は、気をつけないと。

    2011/06/25 リンク

    その他
    kmachu
    kmachu $()関数が検索とDOM生成の両方の役割を持っているとこが、問題の発見を難しくしている。DOM生成は$.html()にする案がいいなぁ。

    2011/06/25 リンク

    その他
    da-yoshi
    da-yoshi 基本は$()に限らず入力値をそのまま使わないことだとは思うけど、jQueryの幅広い使われ方を考えると、将来は$()からエレメント生成機能を外して、代わりにcreateElement系の短縮関数を用意する等の対策が必要かも

    2011/06/25 リンク

    その他
    hiroakisuzuki05410
    hiroakisuzuki05410 あとで読むぞ!

    2011/06/24 リンク

    その他
    istb16
    istb16 気をつけないといけないですねぇ

    2011/06/24 リンク

    その他
    yamadar
    yamadar 絶対に読む

    2011/06/24 リンク

    その他
    inulab
    inulab メモ

    2011/06/24 リンク

    その他
    isidai
    isidai jQueryにおけるXSSを引き起こしやすい問題について - 金利0無利息キャッシング – キャッシングできます - subtech:

    2011/06/24 リンク

    その他
    InoHiro
    InoHiro DOMReadyってなんだ, location.hash, $()関数がHTMLを生成するため

    2011/06/24 リンク

    その他
    s-tomo
    s-tomo $.find(expr)を使えばいいんだっけ?

    2011/06/24 リンク

    その他
    damedom
    damedom あぶねーなあもう

    2011/06/24 リンク

    その他
    amachang
    amachang jQuery の XSS 興しやすい問題/ああ、たしかに。複数の文法を取る可能性がある引数へのエスケープってめちゃくちゃ大変だ…。そのエスケープ方法自体が jQuery に依存することになるし、保守も大変。やっかいな問題だなあ

    2011/06/24 リンク

    その他
    itoyu_110
    itoyu_110 あとで読む

    2011/06/24 リンク

    その他
    ghostbass
    ghostbass でも$()便利だよね。だからこれだけ広まった。/みんなYUIにしようよ!

    2011/06/24 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知

    はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはて...

    ブックマークしたユーザー

    • makoree2015/04/07 makoree
    • TAKEmaru2014/11/16 TAKEmaru
    • hyaknihyak2014/05/27 hyaknihyak
    • haromitsu2013/11/21 haromitsu
    • yashimako2013/09/24 yashimako
    • sora_h2013/09/24 sora_h
    • ms09242013/09/02 ms0924
    • zero_rei_zero2013/08/26 zero_rei_zero
    • maekoya2013/06/14 maekoya
    • muromi2013/05/19 muromi
    • nilfigo2013/05/18 nilfigo
    • irok2013/02/07 irok
    • sanata01302013/01/25 sanata0130
    • agw2013/01/10 agw
    • qingyuan2012/12/10 qingyuan
    • chanpon02012/12/04 chanpon0
    • masterq2012/10/20 masterq
    • prajna2012/10/17 prajna
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - 暮らし

    いま人気の記事 - 暮らしをもっと読む

    新着記事 - 暮らし

    新着記事 - 暮らしをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.