yohgaki's blog - いろいろ変わったXSSがありますが...
(Last Updated On: 2007年10月12日)私が知らなかっただけかもしれませんが、これにはかなり驚きました。いろんな所で問題が指摘されていますが、ECMAScriptにXML機能を追加したのはどうなんでしょうね…. 確かにかなり便利なのですが以下のコードでスクリプトが実行されることはほとんど知られていないでしょうね。 <script> 123[”+<_>ev</_>+<_>al</_>](”+<_>aler</_>+<_>t</_>+<_>(1)</_>); </script> 好むと好まざる関係なくFirefox 1.5から使えるのでWeb開発者は知っておかなればならないです。 日本語訳 http://www.ne.jp/asahi/nanto/moon/specs/ecma-357.html 原文 http://www.ecma-international.org/pu
E4X in Firefox
nanto_vi (TOYAMA Nao) 自己紹介 外山真 (とやまなお) a.k.a. nanto_vi (なんと) http://www.ne.jp/asahi/nanto/moon/ http://nanto.asablo.jp/blog/ 肩書き: 学生 Not in Education, Employment or Training E4Xとは? ECMAScript for XML ECMAScriptにネイティブXMLサポートを追加 ネイティブ → Date, Array and etc. Firefox 1.5/JavaScript 1.6で実装 型 XML型 DOM Nodeに相当 属性・テキストノードなども含む XMLList型 DOM NodeList/DocumentFragmentに相当 1項目のXMLListはXMLとして扱える XML/XMLListコンスト
Kazuho@Cybozu Labs: E4X-XSS 脆弱性について
« 安全な JSON, 危険な JSON (Cross-site Including?) | メイン | JSONP - データ提供者側のセキュリティについて » 2007年01月10日 E4X-XSS 脆弱性について Firefox でサポートされている JavaScript 拡張 E4X (ECMA-357) では、JavaScript 内に XML とほぼ同様のマークアップ言語を記述できるようになっています。しかし、マークアップ言語の解釈にはいくつかの違いがあり、この点をついたクロスサイトスクリプティングの可能性が (相当に小さいものの) 存在します。攻撃者は、 ウェブアプリケーションに E4X として解釈した場合に実行コードとして解釈されるコードを注入 (XSS) し、 1 のコンテンツを <script> タグを用いて参照するような別のウェブサイトを用意し、攻撃対象にアクセスさせ
ECMAScript for XML (E4X) 仕様邦訳
この文書は ECMA-357 ECMAScript for XML (E4X) Specification 2nd edition を訳者 (nanto_vi) が私的に訳したものであり、Ecma International またはその他の関連団体・個人とは一切関係ありません。 この文書は正規の仕様ではありません。正規の仕様に関しては Ecma International から PDF で公開されています。 翻訳の内容については保障しません。この文書の利用によって発生したいかなる損害についても訳者は責任を負いません。 翻訳上の誤りなどがあれば訳者 (ブログまたはメール <nanto (at) moon.email.ne.jp>) までご連絡ください。 Standard ECMA-357 2nd Edition / December 2005 序文 2002 年 6 月 13 日、BEA S
E4X | MDN
廃止 この機能は廃止されました。まだいくつかのブラウザーで動作するかもしれませんが、いつ削除されてもおかしくないので、使わないようにしましょう。 警告: E4X は廃止されました。 この機能は、Firefox 17 において content 向けにはデフォルトで無効となり、Firefox 20 では chrome 向けにもデフォルトで無効となる予定です。 そして、Firefox 21 において削除される予定となっています。 代わりに、DOMParser/DOMSerializer や非ネイティブの JXON アルゴリズムを使用してください。 ECMAScript for XML (E4X) は、ネイティブ XML サポートを JavaScript に追加するプログラミング言語拡張です。これは ECMAScript プログラマにとって違和感がない形で XML 文書にアクセスできるようにするも
akihiro kamijo: E4X
E4X (ECMAScript for XML) は ECMAScript3 の拡張として開発された XML データを扱うための仕様です。2nd Edition が昨年末に公開されています(こちら)。AS3 では新しく E4X のクラスがサポートされ、従来よりもずっと簡単に XML データを扱うことができるようになりました。 AS3 でも AS2 で使われていた XML クラスは XMLDocument と名前を変えて他の関連クラス (XMLNode 等) と共に flash.xml パッケージに含まれています。しかし、これは過去に開発したコードのサポートが主目的で、今後の使用を推奨するものではありません。 さて、まず手始めに E4X の簡単な例を見てみましょう。以下のような XML 文書があるとします。 <order> <book id="1"> <title>learning
[JavaScript] ECMAScript for XML (E4X) を試してみた
Firefox 1.5では、 ECMAScript for XML (E4X) が利用できます。 JavaScript 中に XML コードを埋め込んで XML オブジェクトとして利用できるほか、 (XML.ObjTreeクラスのように) 面倒な DOM 操作ではなくてJavaScriptオブジェクトの プロパティを辿るようにして簡単に XML のデータ構造にアクセスできます。 大なり・小なりの記号を新しい用途に使っているわけですね。賢い! (C++ のストリームの << よりもよっぽど直感的な用途だと思う) XML の処理がスゴく直感的に分かりやすくなるので、良いと思うのですが、 まだ IE では使えないので、一般に普及するのはまだ当分先になりますね……。 ※このページのスクリプトは、Firefox 1.5 用になります。 IE 7/Opera 8.53 では動作しません。 要素の値・属
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ふふふふんふふん E4X pp.html?e4x.txt