2015.07.30 プロフェッショナルサービス事業部 寺田 健 今回のトピックは「HTTPヘッダインジェクション」です。 HTTPヘッダインジェクションは、リクエストパラメータの操作等により、HTTPのレスポンスヘッダに改行文字(CR,LF)を挿入し、ヘッダフィールドを追加したり、ボディを操作したり、新たな偽のHTTPレスポンスを作り出したりする(HTTPレスポンス分割)攻撃、あるいは脆弱性です。 状況にもよりますが、この脆弱性は、被害者のブラウザにおいて、脆弱性のあるページのオリジンで不正なJavaScriptを実行する攻撃につながりえます。つまり被害としては、クロスサイトスクリプティングと同様になりうるということになります。 この脆弱性は古くから知られており、近年は特に目新しいトピックもなかったのですが、2014〜2015年に状況の変化があったので、今回取り上げてみたいと思います。
結構前ですが,mattn さんが小さい markdown ライブプレビューアプリ mkup をつくっていて,そういえば僕も合う markdown ライブプレビューアプリが無いなぁと思っていたのを思い出したので,オレオレ markdown プレビューアプリ Shiba をつくってみました.今このブログエントリもこれでプレビューしながら書いてます. https://github.com/rhysd/Shiba 僕のマークダウンプレビューに対する要求は以下のような感じです.mattn さんのそれに近いです. ドキュメント自体は慣れたエディタで書きたい ブラウザのタブよりは独立した1つのアプリとして動いてほしい GFM で書きたい(コードブロックをハイライトしてほしいし,絵文字記法も反映してほしい OS X,Linux,Windows のすべてで markdown を書く機会があるのでクロスプラッ
http2 explained Background, the protocol, the implementations and the future http://daniel.haxx.se/http2/ by Daniel Stenberg Table of Contents 1.Background.................................................................................................................................................................... 4 1.1.Author....................................................................
HTTP/2 addresses limitations in HTTP/1.x by multiplexing requests over a single TCP connection, compressing headers, and allowing servers to push responses. It leads to more efficient use of network resources and faster page loads. While browser support is good, server implementations are still maturing and need to fully support HTTP/2 features like streams, dependencies, and server push to provid
NEWAPI Documentation Portal API Development for Everyone Simplify API development for users, teams, and enterprises with the Swagger open source and professional toolset. Find out how Swagger can help you design and document your APIs at scale. Explore Swagger Tools SmartBear Named a Visionary by Gartner® in the 2023 Magic Quadrant™ for API Management Learn More
Stream Control Transmission Protocolの略で、TCP/UDPと同じTransport層のプロトコルである。 RFC4960。2000年に定義された、ってことはもう15年も前なのね。 これまで、あまり出会いがなかったけどどうしてだろう。 ようするに TCPのような信頼性と、UDPのような少ないオーバヘッドのいいとこ取りを目指したものである、と。 特徴 マルチホーミング 複数のI/Fを束ねる機能のことらしい。bondingや、昔のISDNのMPみたいなものだね、きっと。 * IBMのサイトから拝借(クリックで飛べます)。上がTCPの場合、下がSCTPの場合。 各I/Fをモニタリングして、フェイルオーバーもする仕様らしいので、この辺のプロトコル実装はちょっと大変そうかも。 WiFiとBLEのマルチなんかも考えると便利そうかも。あれ、iOSのI/Fを意識させないフ
Web フロントエンド開発において gulp は非常に便利だ。しかしあまりにも gulp に依存しすぎており、これなしで開発できるだろうか?という不安もある。というわけで gulp を利用せず package.json と npm だけで同等の機能を実現する方法を検討してみた。 2015/11/4 追記 babelify v7.2 を試すで babelyfy 7.2 ( とその中の Babel 6.x ) について調べ、npm-scripts の変更が必要なことを確認したので追記。また Windows 環境の動作検証をおこなったところ、最新の watchify なら -o オプションが通ることを確認できた。よって本記事の最後の課題が解決したことになる。 2015/9/23 追記 cpx と rimraf を試すの内容をファイル処理に反映して簡略化。 2015/9/15 修正 Stylus
<追記>いろいろ反応あってたしかになーって思いましたが、ここで説明されてるのは「汎化」とか「パラメタライズ」としたほうが正しいですね。抽象化というと、一塊の手続きをブラックボックスにして、実装を隠蔽する面のほうが正解に近いです。でもまあそこを差し引いて読んでいただければ、それなりに有用ではある記事だと思うので、このまま残しておきます</追記> プログラミングに限らない話かもしれませんが、ふだんの生活で触れないような概念というのは、一度わかってしまえば便利なんだけど、どうしてもとらえどころがない、というようなことが多いと思います。プログラミングにもそういう概念はたくさんあって、わたしのような凡人は新しい概念にぶち当たるたびに苦労しています。今日はそんな中で「抽象化」という言葉について、「昔の自分にこうやって説明してあげたかったな〜」という説明をします。 プログラミングを学んでいく中で、「とり
第 19 回 ES7 の SideShow です。@Constellation さんが語る JavaScript Engine (JSCore) での実装の裏話と、 WebAssembly についてお送りします。なお、エピソード内で「何よりも ES6 module が欲しい」という要望を出していましたが、 @Constellation さんが、 実装に着手してくれました!! 楽しみに待ちましょう!!Bug 147340 - [ES6] Implement ES6 Modules Show Note はこちら: https://mozaic.fm/episodes/19/es7-sideshow.html
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く