f99aqのブックマーク - はてなブックマーク

ブラウザ上でMarkdownを安全に展開する - 葉っぱ日記
不特定のユーザーが入力したMarkdownをブラウザ上でJavaScriptを使ってHTMLに変換するという場面においては、JavaScriptで変換してHTMLを生成するという処理の都合上どうしてもDOM-based XSSの発生を考えないわけにはいかない。かといって、MarkdownをパースしHTMLを生成するという処理すべてをXSSが存在しないように注意しながら自分で書くのも大変だし、markedやmarkdown-jsなどの既存の変換用のJSを持ってきてもそれらがXSSしないかを確認するのは結構大変だったりする。そういった場合には、Markdownから生成されたHTMLをRickDOMを通すことで、万が一HTML内にJavaScriptが含まれていたとしてもそれらを除外し、許可された要素、許可された属性だけで構築された安全なHTMLに再構築することができる。さらに、そうやって生成
f99aq 2015/01/31
ブラウザ上でMarkdownを安全に展開する - 葉っぱ日記

security

html
リンク
XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記
合わせて読んでください：Flashと特定ブラウザの組み合わせでcross originでカスタムヘッダ付与が出来てしまう問題が未だに直っていない話 (2014-02/07) XMLHttpRequestを使うことで、Cookieやリファラ、hidden内のトークンを使用せずにシンプルにCSRF対策が行える。POSTするJavaScriptは以下の通り。(2013/03/04:コード一部修正) function post(){ var s = "mail=" + encodeURIComponent( document.getElementById("mail").value ) + "&msg=" + encodeURIComponent( document.getElementById("msg").value ); var xhr = new XMLHttpRequest(); xhr
f99aq 2013/03/21
security

javascript

xhr
リンク
1分でわかる「X-ナントカ」HTTPレスポンスヘッダ - 葉っぱ日記
最近のモダンなWebブラウザがサポートしている、セキュリティに関連しそうな X- なHTTPレスポンスヘッダをまとめてみました。それ以外にもあったら教えてください。 X-XSS-Protection 0:XSSフィルタを無効にする。 1:XSSフィルタを有効にする。 XSSフィルタを有効にすることでエンドユーザがXSSの被害にあう可能性が低減するが、まれに誤検知することで画面の表示が乱れることもある。IE8+、Safari、Chrome(多分) で有効。IEでは「X-XSS-Protection: 1; mode=block」という指定も可能。 2008/7/2 - IE8 Security Part IV: The XSS FilterBug 27312 – [XSSAuditor] Add support for header X-XSS-Protection X-Content-Ty
f99aq 2011/02/20
web

security

http
リンク
[重要] Sage++ (Higmmer's Edition)の脆弱性情報に関して、お詫びと釈明 (ひぐまのひまグ) - 葉っぱ日記
「フレッシュリーダーの脆弱性に関連してSage++のこと」よりもこちらのほうが興味深い。 JPCERT/CC 開発者ベンダ登録リストは、「会社の登記簿謄本」や「会社概要」が必要と書かれているので、企業を対象とした枠組みであり個人は対象外だと私も思っていた。「45日」は事実上死んでいる(と思われる)ルールなので、修正されていない脆弱性は45日を過ぎてもJVNにて公開されることはありません(たぶん)。 Sage 1.4の脆弱性については IPA 経由での届出はなされてないんですかね。記事中で挙げられている、スクリプトを含む RSS Feed 以外にも、テスト用の RSS Feed (を束ねた opml)としては、Feed Secuirty Suite があります。あと、製品開発者ベンダ登録リストに登録しておくと、「ブラウザの『仕様』なのでWebアプリ側で頑張って対策してね」みたいな情報を
f99aq 2007/01/26
security

feed
リンク
1