A Tale of Four Caches
Yoav Weiss (@yoavweiss) has been working on mobile Web performance for longer than he cares to admit. He takes image bloat on the Web as a personal insult, which is why he joined the Responsive Image Community Group and implemented the various responsive images features in Blink and WebKit. He is now working at Akamai as a Principal Architect, focused on making the Web platform faster by adding pe
DOMPurifyを使って、kintoneで安全にDOMをエスケープしよう!
kintoneは、カスタマイズによってレコードの表示方法を変更できるため非常に便利です。 レコードに入力されたマークアップテキストやマークダウンテキストを解析して表示できます。 しかし、セキュリティ面を意識しないと、悪意を持ったユーザーからサイバー攻撃を受ける可能性があります。 今回はkintoneアプリで想定されるサイバー攻撃の例と、 DOMPurify を使った対策を紹介します。 DOMPurifyは Cybozu CDNにてサポートされているので利用してください。 単純に正規表現で置き換えたりしようとすると回避されてXSSを埋め込まれる可能性があります。 innerHTMLやjQueryのhtml()などで出力する前にDOMPurify.sanitize()しておくことで、より安全にHTMLタグを許容できます。 kintoneセキュアコーディングガイドラインでも、出力するすべての要素
TPAC 2019: For a More Capable Web—Project Fugu
このブラウザ バージョンのサポートは終了しました。サポートされているブラウザにアップグレードしてください。
Cross-Origin Read Blocking (CORB) とは - ASnoKaze blog
追記20180606 Chrome独自と書いていましたが、「Fetch Standard」に取り込まれていることを確認しました すでに、Chromeで「Cross-Origin Read Blocking (CORB) blocked cross-origin response」というエラーが出るようになっております。imgタグからクロスオリジンでhtmlファイルを取得したり、タグとレスポンスのcontent-typeが一致してない場合に出ます。 もともと、このChromeにCross-Origin Read Blocking (CORB)という機能を実装するという議論が、blink-devのメーリングリストに投稿されています。 「Cross-Origin Read Blocking (CORB)」 に詳しい説明があるので、CORB とはなんぞやと簡単に説明を読んで見る。 CORBはまだC
OSS利用企業はOSS開発を支援してほしい - 八発白中
先日同僚と酒の席で話をしていた。 僕「最近OSS書けてる?」 同僚「書けてないです。仕事してたら書く暇なくないですか」 1年前まではリモートのパートタイムで働いていた彼としては、週5日フルタイム勤務になってから使える時間が大幅に減っただろうことは簡単に想像がつく。 とはいえ、働かなければ生活費が稼げない。 「どうにか時間を作って開発するしかないね」 僕個人としては若い彼にはもっとOSS活動をしてもらいたいし、うちの会社に入ってからOSS活動ができなくなったと言われるのは入社のときに間に入った自分としては心苦しい。そんなことを考えながら苦い顔をしていると、反対に質問された。 「深町さんはOSS書いてますか? どうやって時間作ってますか?」 「いまは育休中で育児に忙しいから、時間は取れたり取れなかったり」 「仕事してるときはどうでしたか?」 「うーん…僕もあんまり取れてたわけじゃないね」 翻っ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
