近況 - Syoichi's Tumblr
xkansan: XMLHttpRequest (XHR) の結果を Document として受け取る場合に、 xhr.response.URLが GM_xmlhttpRequest で言うところの finalUrl 相当の値を返すように(仕様上は)なっている、という話をこれまで何回か書いてきたのだけれど、気がついたら Editor’s Draft だけでなく Working Draft にも反映されていた。 これは XMLHttpRequest Living Standard にも同じく反映されている。そのこと自体を喜ばしく思う一方で、現時点ではどのブラウザもこの仕様を反映してはいないようだ。というわけで手始めに Firefox にバグとして報告して、ついでにパッチも書いた。Bug 859095ただしこれまでブラウザ拡張では xhr.response.URL が cross origin
RDocの脆弱性情報に見るjQueryの安全な使い方 - Syoichi's Tumblr
2013-02-06に以下の脆弱性情報が公開されました。 RDoc で生成した HTML ドキュメントにおける XSS 脆弱性 (CVE-2013-0256) これはRDocの脆弱性情報ですが、実際にはdarkfish.jsというファイルの修正のみでありJSの問題であることがわかります。 問題のdarkfish.jsを確認すると該当の処理は「var anchor = window.location.hash.substring(1);から取得した値を$(“a[name=” + anchor + “]”);に渡した」処理であったことがわかります。 (このファイルが脆弱性情報のファイルと同じかは確認してないですが、ファイル名とコードから同一と判断しました) 修正方法としては$(“a[name=” + anchor + “]”)でのセレクター埋め込みをやめて$(“a[name]”).eachのe
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
