CSRF対策に固定トークンを推奨する - sourcehoge
CSRF対策にワンタイムトークンが有効だという記事をよく見かけるけど、 固定トークンの方がユーザに遷移を強制しない分良い実装だと思うんだけどなんで浸透しないんだろう? まず、CSRF可能なWebアプリは以下の遷移の様に 認証 → 入力 → 確認 → 完了 まず認証を通して、正規のユーザかどうかを確認した後に機能を提供する Webアプリが攻撃対象になる。 ここでワンタイムトークンの場合 確認画面まで正規のユーザが遷移した時にトークンを発行し、 hiddenに値を入れておき、発行したトークンをセッション情報としてサーバに保存する。 正規のユーザが完了画面まで遷移した時にはhiddenの値とセッション情報にあるトークン を比較し、イコールであれば正規のユーザからのリクエストだという事で処理を続ける。 PHPの場合、以下の様な実装になる。 ・確認画面 [php] "> [/php] ・完了画面 [
PHPのXPathをトリッキーに使ってHTMLのテキストノードを取得 - TakiTakeの日記
以前、PHPのXPathでテキストノード取得したら、期待した順番通りに取得できなかった。と書きました。 ある要素の子ノード群に、エレメントノードとテキストノードがそれぞれ2つ以上あると起きる現象ではないかと推測します。 直下じゃなければいいのでは? ということで、ダミータグで囲ってみたら、期待した順番通りに取得できました。 PHPソース <?php $html = <<< EOL <!DOCTYPE HTML PUBLIC '-//W3C//DTD HTML 4.01//EN' 'http://www.w3.org/TR/html4/strict.dtd'> <html> <head> <meta http-equiv='Content-type' content='text/html; charset=utf-8'> <title>test</title> </head> <body>
サービス終了のお知らせ
平素より「PHPプロ!」をご愛顧いただき、誠にありがとうございます。 2006年より運営してまいりました「PHPプロ!」ですが、サービスの利用状況を鑑みまして、2018年9月25日(火曜日)をもちましてサービスを終了させていただくことになりました。 サービス終了に伴いまして、2018年8月28日(火曜日)を持ちまして、新規会員登録ならびにQ&A掲示板への新たな質問、回答の投稿を停止させていただきます。 なお、ご登録いただいた皆様の個人情報につきましては、サービス終了後、弊社が責任をもって消去いたします。 これまで多くの皆様にご利用をいただきまして、誠にありがとうございました。 サービス終了に伴い、皆様にはご不便をおかけいたしますこと、心よりお詫び申し上げます。 本件に関するお問い合わせはこちらよりお願いいたします。
「2009年のWeb制作情報のまとめ」のまとめ - かちびと.net
復習用。探すのが面倒なので備忘録的 に2009年のまとめをまとめます。時間 がある時に見て自分の必要なものを 確認しようと思います。同じお思いの 方とシェアしようと思ってエントリー。 Web制作関連のみになっています。 かなり時間がかかりそうなので正月辺りにもチェックします。こういうのは一気にやりたい。 100 Best Photoshop Tutorials From 2009 Photoshopチュートリアルベスト100。膨大な量です。 100 Best Photoshop Tutorials From 2009 The Best Free Fonts of 2009 2009年のベストフリーフォント12個。50 Best Free Fonts From 2009も同サイトで発表されました。 The Best Free Fonts of 2009 The Best jQuery Plu
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
『【緊急】アメーバなう利用中の皆さんへ【ご注意!】』
お友達の書き込みに「こんにちはこんにちは!!」というものがあったら 絶対にクリックしないでください!!!! アメーバスタッフさんの記事によると、 その書き込みをクリックすると自分の日記にも 自動的に同じ内容の記事が投稿されるそうです! その結果、それを見た他のアメンバーさんにも、どんどん感染していきます! これはワームというウイルスで、 まるでチェーンメールのように悪質です!! その上、プロフィールなどの個人情報が漏洩する場合があるかもしれません! 詳細は不明ですが、とても不気味です…! 「こんにちはこんにちは!!」というタイトルの日記が いつのまにか投稿されていないか、 自分の「ブログ」と「アメーバなう」で、どうかご確認を! あったら即刻削除してください!!!!!! (1日のタイムラグの後にウイルス発動するという説もあります!) 現在、ameba管理者の方でも対応できないほどのスピードで
転職(中途採用)における志望動機の書き方!面接で話せる動機とは [転職のノウハウ] All About
転職(中途採用)における志望動機の書き方!面接で話せる動機とは仕事経験がある中途採用では、企業の面接で聞かれる内容も新卒と違ってきます。今回は20代・30代など年代別・未経験の場合に分けて、面接と履歴書の双方に役立つ採用担当者が知りたい志望動機と、NG例文、どのような書き方をしたらよいかを説明します。 新卒採用と違って仕事経験がある中途採用は、おのずと面接で聞かれる内容も違ってきます。一番の違いは、中途採用だと必ず職務経歴と志望動機(志望理由)を聞かれること。それだけ、中途採用を行っている採用企業の立場からすると気になる点なのです。そこで、採用担当者が知りたい理由とどのような書き方をしたらよいかを説明します。 <目次> 転職時の志望動機・志望理由には会社理解と方向性が問われる 26歳までの人が伝えるべき志望動機・志望理由 30歳以上の人が伝えるべき志望動機・志望理由 未経験の業界・職種に挑
![転職(中途採用)における志望動機の書き方!面接で話せる動機とは [転職のノウハウ] All About](https://cdn-ak-scissors.b.st-hatena.com/image/square/e43260e51c9ba104900583963358ca79e06e07ac/height=288;version=1;width=512/https%3A%2F%2Fimgcp.aacdn.jp%2Fimg-a%2F1200%2F900%2Faa%2Fgm%2Farticle%2F2%2F9%2F8%2F1%2F4%2F2%2F201806022155%2Ftopimg_original.jpg)
Kozupon.com - lighttpdで高速なhttpサーバを実現する!
lighttpdは高速に動作することを目的として開発されたウェブサーバで、各Linuxディストリビューション、FreeBSD、NetBSD、OpenBSD、Mac OS X、SGI IRIX、Cygwin、その他SolarisやAIXなどで動作する。ウェブサーバとしての機能以外にも、次のような機能をサポートしているらしい。 本当は、 LightTPD(ライトTPD) と言うらしい。とりあえずグーグルって見ると、簡単インストール的なサイトは沢山あるけど、詳細なコンフィグを紹介してるサイトがない。そこで、俺の場合は少し詳細なlighttpdの説明をしてみたい。 これは、受け売りです。 ■ バーチャルホスト、バーチャルディレクトリリスニング ■ URLリライティング、HTTPリダイレクト ■ ファイルの自動期限処理 ■ 64ビットファイルオフセットのサポート ■ マルチレンジサ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
