Discover new features and helpful tips to get the best experience out of Edge.
Discover new features and helpful tips to get the best experience out of Edge.
Ajaxなアプリケーションにおいて、サーバからJSONを返す場合に、JSON自体はvalidであるにも関わらず、(IEの都合で)エスケープが不足していて脆弱性につながってる場合があるので、書いておきます。 発生するかもしれない脆弱性 JSONのエスケープが不足している場合に発生する可能性のある脆弱性は以下の通りです。 JSON内に含まれる機密情報の漏えい XSS それぞれの詳細については後述します。 開発側でやるべきこと 文字列中のUnicode文字は "\uXXXX" な形式にエスケープするとともに、ASCIIな範囲であっても「/」「<」「>」「+」も同様にエスケープすることにより、前述の脆弱性を防ぐことができます。 Perlであれば、以下のような感じになります。JSON->ascii(1) に続けて、JSON文字列を正規表現で置換しているあたりがキモになります。 use utf8; u
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
DOM の getAttribute / setAttribute メソッドは DOM Level 1 から定義されているメソッドで、MSDN Library によれば IE はバージョン 4 からサポートしています。しかし、IE での element.getAttribute(name) / element.setAttribute(name, value) というのは、基本的には JavaScript における element[name] / element[name] = value のシンタックスシュガーでしかありません。ですから、element.setAttribute("innerHTML", "foo") とすると、element の属性には何の変化もないが element の内容が書き換えられるという事態になります。 この (手抜き) 実装が原因で、getAttribute
2007年01月25日 スタンドアローンでIE3~IE7をまとめていれれるツール『Multiple_IE』 最近仕事でIE7が普及しているせいか、IE6を入れているマシンが 少なくなった。一度IE7をいれるとなかなかIE6に戻すことができず IE6で確認したのか?と問われると困ってしまう そこでスタンドアローン(単独アプリ)で気軽にIEを いれれるという優れものアプリがあるので紹介する。 ■スタンドアローンのIE3~IE7を公開するサイト ■Install multiple versions of IE on your PC | TredoSoft ■スタンドアローンのIE3~IE6 はっきりいってIEの3なんかは全く仕様用途はないのだが、 まれに仕事でブラウザチェックするときIE6などはチェック する場合があるので、こいつをいれると便利。 ■IE6, IE5.5, IE5,
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く