GitHub - gzuidhof/coi-serviceworker: Cross-origin isolation (COOP and COEP) through a service worker for situations in which you can't control the headers (e.g. GH pages)You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
HTMLMediaElement: currentTime プロパティ - Web API | MDN
値 現在の再生時刻を秒単位で示す倍精度浮動小数点値です。 メディアがまだ再生されていない場合、 currentTime の値は play() メソッドが呼ばれたときに再生が開始されるメディア内の時刻位置を示しています。 currentTimeに新しい値を設定すると、メディアが利用可能であれば、指定された時刻にシークします。 ライブストリーミングされたメディアなど、再生時間が不明なメディアでは、ブラウザーがメディアバッファーから時間切れのメディア部分を取得できない可能性があります。また、タイムラインが 0 秒で始まらないメディアは、そのタイムラインの最も早い時刻より前にシークすることはできません。 秒単位のメディアの長さは、 durationプロパティを用いて決定することができます。 例
Safe DOM manipulation with the Sanitizer API | Articles | web.dev
const user_input = `<em>hello world</em><img src="" onerror=alert(0)>` $div.innerHTML = user_input If you escape HTML special characters in the input string or expand it using .textContent, alert(0) isn't executed. However, since <em> added by the user is also expanded as a string as it is, this method cannot be used in order to keep the text decoration in HTML. The best thing to do here is not es
Sentry で IP アドレスの収集をやめる - mizdra's blog
@sentry/browser を使うと、ブラウザでエラーが発生した時にそのエラーを Sentry の集計サーバに送信して記録してくれます。送信されたエラーはエラーの種類ごとに Issue という単位にグルーピングされ、Issue ごとに何件発生しているのか、何人のユーザで発生しているのか、過去2週間にどれぐらいのエラー数の増減があったのか、などと簡潔に表示してくれます。便利ですね。セットアップも非常に簡単で、十数行程度のセットアップコードを書くだけで使い始めることができます。 エラーが Issue ごとにグルーピングされている様子。画像は https://docs.sentry.io/product/issues/ から引用。 IP アドレス の収集をやめる ところでこのエラーが発生したユーザ数 (画像の USERS のカラムの部分) なのですが、デフォルトではエラーの送信元の IP ア
Securing Your Website With Subresource Integrity | CSS-Tricks
You may have noticed that, for example, Bob and Mary have the same output. For hashing functions, this is called a “collision.” For our example scenario, it inevitably happens. Since we have seven names as inputs and only six possible outputs, we’re guaranteed at least one collision. A notable difference between this example and a hash function in practice is that practical hash functions are typi
Making JavaScript run fast on WebAssembly - Bytecode Alliance
JavaScript in the browser runs many times faster than it did two decades ago. And that happened because the browser vendors spent that time working on intensive performance optimizations. Today, we’re starting work on optimizing JavaScript performance for entirely different environments, where different rules apply. And this is possible because of WebAssembly. We should be clear here—if you’re run
__proto__の除去でNode.jsのプロトタイプ汚染を防げないケース - knqyf263's blog
前提 Node.jsのプロトタイプ汚染について書いているのですが、プロトタイプの説明(prototype と __proto__ の関係とか)を定期的に見直さないと綺麗サッパリ忘れる程度にはNode.js触っていないので、何かおかしいところあればご指摘お願いします。 概要 Node.jsではここ数年プロトタイプ汚染攻撃が流行っています。概要は以下を見れば分かると思います。 jovi0608.hatenablog.com そもそもプロトタイプって何?という人は以下の記事が分かりやすいです。自分はお守りのように定期的に読んでます。 qiita.com 外部から送られてきたJSONなどをパースして変換し、そのオブジェクトをmergeやcloneする際に __proto__ を上書きすることで Object.prototype を汚染するというものです。このオブジェクトが書き換えられると、新しく作
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - Shopify/remote-dom
Hostname spoofing via backslashes in URL
CVE-2022-0639 - GitHub Advisory Database
What Bypassing Razer's DOM-based XSS Patch Can Teach Us
GitHub - google/safevalues
iframe sandboxでユーザー入力スクリプトを実行する
GitLab disclosed on HackerOne: Stored XSS via Mermaid Prototype...
Release 8.9.2 · mermaid-js/mermaid
(PDF) COSMICDUKE Cosmu with a twist of MiniDuke - F-Secure
GitHub - serain/netmap.js: Fast browser-based network discovery module
GitHub - bishkou/password-pwnd: Npm package to check if the user's password has been leaked before in previous breaches using HIBP API
The Secret Parameter, LFR, and Potential RCE in NodeJS Apps
GitHub - BlackFan/client-side-prototype-pollution: Prototype Pollution and useful Script Gadgets
