445873 - Components.utils.Sandbox doesn't set JS version
It appears that the code which creates JS sandboxes [1] doesn't explicitly call JS_SetVersion (nor does the context callback for xpconnect [2]), and it further doesn't provide any mechanism for JS code to set the version. As a result, it appears that all sandboxes created in Firefox don't accept JS 1.7 code (namely, use of 'let' and 'yield' statements raise syntax errors). Note that sandboxes crea
[ニッチ]E4Xで攻撃できる? できない?
[ニッチ]E4Xで攻撃できる? できない?:教科書に載らないWebアプリケーションセキュリティ(6)(1/3 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) ECMAScriptでXMLを扱う“E4X” 皆さんこんにちは、はせがわようすけです。今回は、Mozilla Firefoxでクロスドメイン制約を回避する方法の一例として、E4Xという機能を利用した攻撃方法を紹介します。 E4Xとは、「ECMAScript for XML」の略であり、JavaScriptやActionScriptなどのECMAScript処理系において、XMLをネイティブ機能として扱うための仕様です。 現在、FirefoxのJa
![[ニッチ]E4Xで攻撃できる? できない?](https://cdn-ak-scissors.b.st-hatena.com/image/square/dc65b1eedbac07db630f01e0178709e6a173abb8/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F1002%2F08%2Fl_r20fig01.jpg)
E4Xどうよ?
V8はE4Xをサポートする予定はないみたいとつぶやいたら、主にMozilla方面(edvakfさん除く)の方々からE4Xについて一言いただいたのでまとめてみました。 なぜか検索で全然ヒットしないので、漏れがあったらごめんなさい…
Re: E4X - ellaneous
x.list.(function::hasOwnProperty("@id") && @id == "b"); http://teramako.github.com/doc/modest-20100904/index.html#(10) .(function::child("@id") == "b") で良さそう。 さらにゴルフするなら .(*.parent().@id == "b") とか。 xlist[i] = <span>hoge</span>; http://teramako.github.com/doc/modest-20100904/index.html#(18) 初耳。jsPerf で試したら確かに速い。 要素数以上の数字を指定すれば追加になる*1ので添え字を増やさずとも適当に大きい数((上限 4294967294 == -2 >>> 0))でいい。 Unfocused には
FirefoxのWeb Workersにおける脆弱性について
2010/07/23 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 FirefoxのWeb Workersにおける脆弱性について みなさん、こんにちは。ネットエージェント株式会社 研究開発部の長谷川です。 今週の水曜日に Mozilla Firefox 3.6.7 がリリースされましたが、このバージョンには私が発見した脆弱性(*1)の修正が含まれています。今日はその内容について説明したいと思います。 (*1) MFSA 2010-42: Web ワーカーの importScripts を通じたクロスサイトデータ漏えい ----- ■概要 Mozilla Firefox 3.6.4 および 3.6.6 において、Web Workers と
E4X を用いた XML 処理 - E4X | MDN
警告: E4X は非推奨です。E4X は content に対して Firefox 16 からデフォルトで無効に、chrome に対して Firefox 17 からデフォルトで無効に、そして Firefox 18 で削除される予定です。代替として、DOMParser/DOMSerializer または 非ネイティブの JXON アルゴリズムを使用してください。 警告: この記事の内容は古くなっている可能性があります。 最終更新日は 2010 年 11 月 12 日です。英語版の最新の内容も合わせてご覧下さい。 JavaScript 1.6 で初めて導入された E4X により、JavaScript 言語にネイティブ XML オブジェクトが導入され、さらに XML 文書リテラルを JavaScript コードに埋め込むための構文も追加されています。 E4X の完全な定義は Ecma-357 仕
ECMAScript for XML (E4X) 仕様邦訳
この文書は ECMA-357 ECMAScript for XML (E4X) Specification 2nd edition を訳者 (nanto_vi) が私的に訳したものであり、Ecma International またはその他の関連団体・個人とは一切関係ありません。 この文書は正規の仕様ではありません。正規の仕様に関しては Ecma International から PDF で公開されています。 翻訳の内容については保障しません。この文書の利用によって発生したいかなる損害についても訳者は責任を負いません。 翻訳上の誤りなどがあれば訳者 (ブログまたはメール <nanto (at) moon.email.ne.jp>) までご連絡ください。 Standard ECMA-357 2nd Edition / December 2005 序文 2002 年 6 月 13 日、BEA S
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
FIREFOX JS HACKS - XSSで使えるかもしれないJavaScriptテクニック
https://rephrase.net/days/07/e4x