arguments.calleeがstrictモードで禁止な理由
Yoshiaki Kawazu🐸ずん @kawaz これ軽くググっても理由がわからないんだが何で危険なの?>「arguments.calleeの使用が、ECMAScript 5のStrictモードがサポートしていないことからもわかるように、危険なこと」/無くてもまぁ困らないけど理由を知り… http://t.co/I9sPoAv0 2011-11-18 21:18:59 koichik @koichik @kawaz それらは Good Parts に書いてないので、使うとダグラス様がマシンガン乱射して危険だからです。というか、caller はそもそも ECMA-262 で規定されたことがないとか、callee 使うくらいなら関数に名前つけろとか。 2011-11-18 21:38:35
携帯電話事業者に学ぶ「XSS対策」 - ockeghem's blog
NTTドコモとソフトバンクモバイルは、フィーチャーフォン(いわゆるガラケー)にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている(しようとしている)挙動が観測されましたので報告します。この内容は、オレ標準JavaScript勉強会でネタとして使ったものです。 NTTドコモに学ぶ「XSS対策」まず、サンプルとして以下のようなXSS脆弱なスクリプトを用意します。 <?php session_start(); ?> <body> こんにちは<?php echo $_GET['p']; ?>さん </body>これを以下のURLで起動すると、IE7では下図のような表示になります。 []http://example.com/xss01.php?p=山田<scrip
「HTML5は優先順位を間違った。もういちどセキュリティの設計からやり直すべきだ」と語るJavaScript大家のDouglas Crockford氏
「HTML5は優先順位を間違った。もういちどセキュリティの設計からやり直すべきだ」と語るJavaScript大家のDouglas Crockford氏 「HTML5の最大の問題は、優先順位を間違ったことだ。機能について議論する前に、セキュリティの扱いについて検討すべきだった」こう語るのは、JSONの発明者として知られ、Yahoo!のシニアJavaScriptアーキテクトでもあるDouglas Crockford氏。5月4日に行われたオライリーのWeb2.0 Expo 2010でのインタビューでのことです。 「もうそれを議論するには遅すぎるという人もいるが、そうは思わない。正しいことをするのに遅すぎることはないのだから」(Crockford氏) Crockford氏はHTML5は機能が重複しすぎていることも指摘しています。「Local StorageとLocal Databaseの両方が本当
JavaScriptを使わずにWebブラウザの閲覧履歴を盗む | スラド セキュリティ
bugzilla.mozilla.org では JavaScript を使う exploit も使わない exploit も Bug 147777 [mozilla.org] として扱っています。この bug のコメント中、 JavaScript を使わない例は、はっきりしたものとしては 2006 年 12 月の Comment 71 [mozilla.org] が初出でしょうか。 2005 年 6 月の Comment 48 [mozilla.org] もそれっぽいですが。 まだ正式版どころか RC も出ていないので一般の人にはお勧めしませんが、人柱の人は Firefox 3.5 Preview を使って about:config から layout.css.visited_links_enabled を false にすると、リンクが visited かどうかによってスタイルを変えるの
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
