はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知

はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28

[zuborawka]

埋め込みのjavascriptの危険性を詳しく解説。今までエスケープしていたと思っていたものがそうでなかったことを知ってショック

[tksmd]

script タグ中のエスケープの方針

[kireifish]

HTML エスケープ処理

[akiyan]

.

[naga_sawa]

js入りHTMLを出力する場合のエスケープについて/用心しないと一筋縄じゃいかない

[escape_artist]

難しいっす。「これで完璧」という書き方は場合によって変化する。

[cnomiya]

良記事｜過剰エスケープしていなければ、［% value | html | js | html %］で基本OK?

[raimon49]

HTML, JSON (JavaScript変数), document.write() などのコンテキストに応じて適切なエスケープ方法を使い分けることの難しさについて。HTMLエスケープされたhiddenから取り出す、というのは一つの安全策。

[monjudoh]

『すでに画面に出力されているならDOMで拾ってくるのが良い、scriptを動的に生成するのは避けるべき』でFAだと思う。そうして安全に埋めこまれたものをバカが出力時エスケープしないで使うことまで考慮したらキリがない

[SurgicalStrike]

ｊavaScriptのエスケープ処理に起因するXSSがとても多い件

[nilab]

んー、よくわかんにゃい…まぁHTMLとJavaScriptのコードのエスケープ処理内容は別だよね、うん。 / HTMLのscriptタグ内に出力されるJavaScriptのエスケープ処理に起因するXSSがとても多い件について

[tasukuchan]

これmalaさんに指摘してもらったスゲー助かった

[ockeghem]

JavaScriptのエスケープ処理に起因するXSS脆弱性が多いのは同意。hiddenパラメータの参照を推奨。escape_jsが\をエスケープしていないのは単純に脆弱性だよね。MySQLで\をエスケープしないのと同じ

[kogawam]

ブクマの人たちへ念のため。普通は次の様な方法で済むはず (1)hidden値をJS変数に突っ込んで使う（doc.writeやevalしない） (2)複雑データはJSONを別ファイルで／scriptタグ内出力は最後の手段

[yocchi24]

…JSのセキュリティについて。必読。

[hidehish]

見てる:

[itouhiro]

はてなグルーブは、バックスラッシュがChrome/Safariで正しく表示できてるね。

[hatotaka]

HTMLのscriptタグ内に出力されるJavaScriptのエスケープ処理に起因するXSSがとても多い件について - 金利0無利息キャッシング – キャッシングできます - subtech

[efcl]

HTMLタグエスケープとJavaScriptエスケープ。 jSONを扱う場合の注意。 エスケープされたものが外部から渡されてる場合はunescapeした上でescape。(信用の問題)

[hide_o_55]

だいたい鯖側のテンプレートで処理してる

[kamipo]

「単純にいえばこういうコードを書くのは避けたほうがいい。」

[denken]

あとでブクマする