[B! DOM] efclのブックマーク

efcl id:efcl

DOMに関するefclのブックマーク (612)

Intent to Ship: Observable API
efcl 2025/03/02
ChromeがRx的なObservable APIの実装をする

Chrome

javas

DOM
リンク
Introduce `moveBefore()` state-preserving atomic move API by domfarolino · Pull Request #1307 · whatwg/dom
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
efcl 2025/02/09
DOM要素の移動を行う`moveBefore`メソッド。 popoverやiframe、アクティブな要素、CSSのアニメーションなどを維持したまま要素を移動できる

DOM

spec

issue
リンク
Release Version 26.0.0 · jsdom/jsdom
Breaking change: canvas peer dependency requirement has been upgraded from v2 to v3. (sebastianwachter) Other changes: Added AbortSignal.any(). (jdbevan) Added initial support for form-associated custom elements, in particular making them labelable and supporting the ElementInternals labels property. The form-associated callbacks are not yet supported. (hesxenon) Updated whatwg-url, adding support
efcl 2025/01/12
jsdom 26.0.0リリース。 node-canvasをv3にアップデート、`AbortSignal.any()`のサポート、`URL.parse()`のサポートなど

JavaScript

DOM

ReleaseNote
リンク
GitHub - bloomberg/container-timing: Container Timing
efcl 2025/01/07
特定のコンテナ要素のレンダリングが完了した時間を知るContainer Timing API

DOM

proposal

performance
リンク
Exploring the DOMPurify library: Bypasses and Fixes (1/2). Tags:Article - Article - Web - mXSS
title: Exploring the DOMPurify library: Bypasses and Fixes (1/2) date: Nov 17, 2024 tags: Article Web mXSS 📜 Introduction 🔍 How does client-side HTML sanitizer works? ❓ Why are mutation XSS (mXSS) possible? ▶️ DOMPurify 3.1.0 bypass (found by @IceFont 👑) Node flattening HTML Parsing states Proof Of Concept ⏩ DOMPurify 3.1.1 bypass DOMPurify 3.1.0 fix DOM Clobbering issue Proof Of Concept ⏭️ DOM
efcl 2024/11/16
DOMのサニタイズライブラリであるDOMPurifyのバイパス手法について。 HTMLのパースにおける仕様やFuzzingからどのようにバイパスするか調べたかについて

XSS

JavaScript

DOM

security

article
リンク
CVE-2024-51757 - GitHub Advisory Database
efcl 2024/11/07
happy-domのSSRFのセキュリティ修正。 `<script>`の`src`属性に書かれているコードを実行してしまう問題の修正。 happy-dom v15.10.2で修正されている。

JavaScript

DOM

nodejs

ReleaseNote

security
リンク
DOMの古い仕組みを悪用した脆弱性 | フロントエンドBlog | ミツエーリンクス
pagefindは静的サイトでも手軽にサイト内検索を実現できる全文検索ライブラリーです。先日、pagefindの脆弱性が修正されましたが、DOMの古い仕組みを悪用したものでした。その内容を興味深く感じたため、この記事で紹介します。なお、紹介する攻撃手法はDOM Clobberingと呼ばれています（DOM上書きという意味です）。この記事で紹介する脆弱性はpagefind 1.1.1で修正されています。pagefind 1.1.1未満をご利用のかたは1.1.1に更新することをおすすめします。 CVE-2024-45389: DOM clobbering could escalate to XSS 概要修正前のpagefindを利用しているサイトでは、サイトにHTMLを書き込める場合、外部のJavaScriptを読み込まれてしまう脆弱性がありました。書き込まれたHTMLにJavaScrip
efcl 2024/09/16
`document.currentScript`のscript要素のチェック漏れを利用したDOM Clobberingについて

DOM

security

XSS
リンク
Web技術を駆使してユーザーの画面を「録画」する
Bundle Side Optimization in Future JavaScript - JSConf JP 2021
efcl 2024/09/08
Fullstoryとかrrweb的なDOM録画の仕組み

DOM

javas
リンク
Using React DOM in Expo native apps
Learn about rendering React DOM components in Expo native apps using the 'use dom' directive. Expo offers a novel approach to work with modern web code directly in a native app via the 'use dom' directive. This enables incremental migration for an entire website to a universal app by moving on a per-component basis. While the Expo native runtime generally does not support elements like <div> or <i
efcl 2024/09/08
ExpoのReact DOM対応。 WebViewを使ってReact DOMで作った画面をアプリ上にそのまま組み込める。

React

DOM
リンク
https://scnps.co/papers/sp23_domclob.pdf
efcl 2024/09/01
DOM Clobberingについての論文。 DOMのid属性やname属性が`document.*`や`window.*`として参照できることを利用して、無害なHTMLからXSSを行う手法。 iframeのネストやHTMLコレクションで`windwow.x.x`のようなネストしたオブジェクトの参照の

DOM

XSS

paper
リンク
security: fix DOM clobbering in auto public path by alexander-akait · Pull Request #18700 · webpack/webpack
efcl 2024/09/01
`<img name="currentScript" src="https://attacker.controlled.server/"></img>`と書いた場合に、`document.currentScript`がこのimgを参照するため、scriptタグかを判定しないとimg srcをjsとして読み込んでしまう問題

DOM

XSS

security

issue
リンク
Release Version 25.0.0 · jsdom/jsdom
This major release changes the prototype of a jsdom's EventTarget.prototype to point to the Object.prototype inside the jsdom, instead of pointing to the Node.js Object.prototype. Thus, the prototype chain of Window stays entirely within the jsdom, never crossing over into the Node.js realm. This only occurs when runScripts is set to non-default values of "dangerously" or "outside-only", as with t
efcl 2024/08/26
jsdom 25.0.0リリース。 `EventTarget.prototype`の参照先をjsdom内の`Object.prototype`に変更。

JavaScript

DOM

ReleaseNote
リンク
Release v15.0.0 · capricorn86/happy-dom
efcl 2024/08/22
Happy DOM v15.0.0リリース。 Node.js 18未満のサポート終了、`HTML*Element`のサポートの追加など

nodejs

DOM

library

ReleaseNote
リンク
Patterns for Memory Efficient DOM Manipulation with Modern Vanilla JavaScript – Frontend Masters Blog
Patterns for Memory Efficient DOM Manipulation with Modern Vanilla JavaScript I’ll discuss best practices to avoid excess memory usage when managing updating the DOM to make your apps blazingly fast™️. DOM: Document Object Model – A Brief Overview When you render HTML, the live view of those rendered elements in the browser is called the DOM. This is what you’ll see in your developer tools “Elemen
efcl 2024/08/03
DOM APIでのDOMの変更を効率的に行う方法について。 `textContent`と`innerText`、`insertAdjacentHTML`と`innerHTML`、DOM Nodeの削除とGC、イベントリスナーのクリーンアップなどについて

DOM

performance

article
リンク
A virtual DOM in 200 lines of JavaScript
In this post I’ll walk through the full implementation of a Virtual DOM in a bit over 200 lines of JavaScript. The result is a full-featured and sufficiently performant virtual DOM library (demos). It’s available on NPM as the smvc package. The main goal is to illustrate the fundamental technique behind tools like React. React, Vue and the Elm language all simplify the creation of interactive web
efcl 2024/05/26
Virtual DOMを実装しながら仕組みについてみていく記事

JavaScript

DOM

article
リンク
シンタックスハイライトをライブラリなしで簡単に！Custom Highlight APIの魅力 - コハム
Syntax Highlighting code snippets with Prism and the Custom Highlight API 記事は上記記事を意訳したものです。 ※当ブログでの翻訳記事は元サイト様に許可を得て掲載しています。ウェブ上の構文ハイライトの一般的な仕組みは、すべてのトークンを要素で囲み、適切なクラスを割り当て、CSSを使って色付けすることです。 CSS Custom Highlight APIのおかげで、DOMツリーにを散りばめてカラー情報を追加するステップを省略できます。 Custom Highlight APIの基礎ブラウザサポート静的コードスニペットの構文ハイライト仕組みステップ1:セットアップステップ2:コードのトークン化ステップ3:トークンとハイライトの関連付け Custom Highlight APIの欠点制限されたスタイリングオ
efcl 2024/05/18
CSS Custom Highlight APIについて

CSS

DOM

API
リンク
LavaDome is vulnerable to onmouseover · Issue #37 · LavaMoat/LavaDome
efcl 2024/04/25
closedなShdowRootも、中で起きたイベントをbubblingでcatchして、発生元の要素を見ることで、外から中へアクセスできる問題

DOM

security

WebComponents

issue
リンク
HTML attributes vs DOM properties
Attributes and properties are fundamentally different things. You can have an attribute and property of the same name set to different values. For example: <div foo="bar">…</div> <script> const div = document.querySelector('div[foo=bar]'); console.log(div.getAttribute('foo')); // 'bar' console.log(div.foo); // undefined div.foo = 'hello world'; console.log(div.getAttribute('foo')); // 'bar' consol
efcl 2024/04/25
HTMLの属性とDOMプロパティの違いについて。属性とプロパティの型の違い、大文字小文字の区別、Reflectionについて。また、Preact/VueやReactなどのUIフレームワークでの扱いについてなど

HTML

DOM

JavaScript

article
リンク
DOMDOMタイムス#14: Eventインタフェースのbubblingとcomposed
めちゃくちゃ久しぶりの更新になってしまったドムドムタイムスです👶 (JSConfに全身全霊を捧げていました！) さて、今日はEventインターフェースのbubblingとcomposedについてチラチラ見ていってみます。イベントのインターフェースのおさらいまずイベントがどういうインターフェースになっていたか軽く確認してみましょう！例えばclickイベントはPointerEventインターフェースを持ったオブジェクトの1つでした。このPointerEventインターフェースとやらは辿っていってみると、下のようにEventインターフェースをinheritしているわけですね。 Eventインターフェースを起点として、いろいろなイベントが実装されています。例えばEventインターフェースをinheritしているUIEventと同じレベルにSubmitEventやCustomEventな
efcl 2024/04/23
DOMのbubblingとcomposedのまとめ。 composedはShadow Rootを越えるかの判定

DOM
リンク
Chrome Platform Status
efcl 2024/04/17
`<link rel=expect href="#id">`で特定の要素が表示されるまでレンダリングをブロックできるようになる。

Chrome

HTML

DOM

performance
リンク
1 2 3 4 5 6 7 8 9 10 次のページ

お知らせ

もっと読む

公式Twitter

@HatenaBookmark
リリース、障害情報などのサービスのお知らせ
@hatebu
最新の人気エントリーの配信

キーボードショートカット一覧

j次のブックマーク

k前のブックマーク

lあとで読む

eコメント一覧を開く

oページを開く

設定を変更しましたx