Escape Codec Libraryの詳細情報 : Vector ソフトを探す!
ソフト詳細説明 ◆文字列をすべてのコンピュータで読めるような形式に変換したり、変換されたものを元の文字列にデコードすることができる関数のライブラリです。 ◆ビルトイン関数の escape() , unescape() とは異なり、どの種類のブラウザでも同じ変換結果が得られます。 ◆JISコード変換テーブルを搭載しているので、従来JavaScriptでは実現が困難であった、Shift_JISコードやEUC-JPコードなどの文字コードとしてのエンコード・デコードも可能となっています。 なお、この変換テーブルは、直接漢字は記述せず、Unicode 番号を圧縮したデータをASCIIコードの文字のみで記述しているので、任意の文字コードで使用可能です。 ◆動作確認用のフォーム TransEscape.html を付属しているので、すぐに使用することもできます。
Closure Templatesのオートエスケープが最強すぎる件 - teppeis blog
rails3以降のWEBアプリケーションにありがちなXSS - hanagemanの日記ではない この記事を読んで、ちょうど最近使っているGoogle Closure Templatesがいい感じだったので紹介します。 コンテキストが異なる/重なるポイントでのエスケープ問題 最近のほとんどのテンプレートエンジンでは、変数埋め込みをデフォルトでHTMLエスケープしてくれます。が、元記事で指摘されているように、それでは正しくないケースがあります。HTML PCDATA以外のコンテキストで文字列を生成したり、複数のコンテキストが重なっている箇所です。 極端な例としてはこんな感じです。 <a href="{$x1}" onclick="alert('{$x2}')">{$x3}</a> <script> var x = '{$x4}'; var y = {$x5}; </script> <styl
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
