「Node.js」にセキュリティ更新 ~全10件の脆弱性、最大深刻度は「High」/v16.20.1、v18.16.1、v20.3.1への更新を
JSONのエスケープをどこまでやるか問題 - 葉っぱ日記
Ajaxなアプリケーションにおいて、サーバからJSONを返す場合に、JSON自体はvalidであるにも関わらず、(IEの都合で)エスケープが不足していて脆弱性につながってる場合があるので、書いておきます。 発生するかもしれない脆弱性 JSONのエスケープが不足している場合に発生する可能性のある脆弱性は以下の通りです。 JSON内に含まれる機密情報の漏えい XSS それぞれの詳細については後述します。 開発側でやるべきこと 文字列中のUnicode文字は "\uXXXX" な形式にエスケープするとともに、ASCIIな範囲であっても「/」「<」「>」「+」も同様にエスケープすることにより、前述の脆弱性を防ぐことができます。 Perlであれば、以下のような感じになります。JSON->ascii(1) に続けて、JSON文字列を正規表現で置換しているあたりがキモになります。 use utf8; u
ソフトバンクの非公式JavaScript対応の調査結果
ソフトバンクのYahoo!ケータイブラウザは、2010年春モデルまで非公式のJavaScript対応機種がありました。2010年5月に、私的にその対応状況を調査した結果を公表します。 これは、「Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題」を公表するにあたり、影響のある端末を調べるために、端末実機の検証センターにて抜き取り検査した結果です。 考察JavaScriptが最初に搭載されたのは、2004冬の702NKらしい。以降、ノキア端末にはJavaScriptが搭載される。この時期のJavaScriptは簡易的なもの。 2006年冬モデルから多くのモデルでJavaScriptが搭載される。この時期の端末は、DOMは対応しているが、XMLHttpRequestは対応していない。 2008年春モデルから一部の機種でXMLHttpRequestをサポートする。 シャープ
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
