npmとyarnの脆弱性とpostinstall - Cybozu Inside Out | サイボウズエンジニアのブログ
フロントエンドエキスパートチームの小林(@koba04)です。 先日、npmから脆弱性についての発表がありました。 調べていく中でいくつか思うところがあったので解説も兼ねて書いていきたいと思います。 The npm Blog — Binary Planting with the npm CLI npmの利用者としてやるべきことは、 npmのバージョンを6.13.4以上にあげる yarnのバージョンを1.21.1以上にあげる です。 npmのバージョンが6.13.4になったNodeもv8, v10, v12, v13系でそれぞれリリースされたので、そちらを利用することも可能です (yarnのバージョンは別途あげる必要があります)。 nodejs.org npmによる発表では、今回発表された脆弱性は2件あるため、それぞれ個別に考えます。 binに任意のパスを指定出来る件 npmパッケージはpa
window.postMessage APIの使い方を調べた - takapiのブログ
postMessageとは HTML5で拡張された機能 任意のウィンドウへクロスオリジン通信が可能 セキュアである 双方向の通信チャンネルが確立されてから通信を行う 悪意あるWebサイトから知らないうちにされないようにしているため 使い方(送信) win.postMessage("メッセージ", "http://www.example.com"); メッセージを受け取りたい対象に対してpostMessageを呼びます。 コードで示している win は以下を指します。 自分のドキュメントウィンドウ内に生成されたiframe JavaScriptで開いたポップアップウィンドウ 自分のドキュメントウィンドウを含むウィンドウ 自分のドキュメントを開いたウィンドウ 第一引数に渡したいメッセージ(文字列)、第二引数に宛先のオリジンを指定します。 受け取り方(受信) addEventListenerを使
SRI Hash Generator
What is Subresource Integrity? SRI is a new W3C specification that allows web developers to ensure that resources hosted on third-party servers have not been tampered with. Use of SRI is recommended as a best-practice, whenever libraries are loaded from a third-party source. Learn more about how to use subresource integrity on MDN. How is Subresource Integrity different to HTTPS? TLS ensures that
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
