JSONデータをクロスドメインアタックから守るためにwhile(1)を使うことをやめましょう - hoshikuzu | star_dust の書斎
これはなに 既にご存知の方がいらっしゃるかどうかも知りませんが今さっき関連文献に行き当たって驚愕したので念のためにメモを書いておきます。私はメーリングリストなどに加入していませんので論議が済んでいるかどうかも知らないのです。もしもウェブ上に解説記事があるようでしたら逆に私に是非とも教えてください。 JSONデータの先頭に JSONデータの先頭にwhile(1)を置いておくことで無限ループを発生させておいて、受動的攻撃のページの悪意あるscriptの実行を失敗させるというアイデアには欠点があるということを、先程とある文献から知りました。これはwhile(true)についても同様です。JavaScriptは柔軟で強力な言語ですから、ブラウザがJavaScriptエンジンをまじめに実装しているのであれば、アタックのチャンスを与えていることになります。しかしこれはブラウザの脆弱性とは捉えられません
PHPでaddslashes()でエスケープしてもSQLインジェクションな穴
■data uri変換機 これはそそります。なるほどぉ。 data:text/html;charset=utf-8;base64,aHR0cDovL2xhLm1hLmxhL21pc2MvanMvZGF0YS5odG1s ■FirefoxでWindowsのクリップボードに値を設定する方法 上を踏まえて。 http://la.ma.la/misc/js/setclipboard_for_firefox.html http://la.ma.la/misc/js/setclipboard.txt Opera8.5でもいけてる気がします。 外部のサーバを利用せずにHTML単体でいけているのは、dataスキームが有効だからですね。IE7ではまだdataスキームって有効じゃないのでしたっけ? え?オーバーフローするかって?しないでしょ(笑) Firefoxでテキストをクリップボードにコピーする方法::最
■ - hoshikuzu | star_dust の書斎
■セッション管理をinput[type="hidden"]等で行うことについて input[type="hidden"] セッション管理の方法として、input[type="hidden"]には、生のセッションIDをに突っ込めば良いのか、あるいはセッションIDと何かの秘密キーとを結合させた上で良いハッシュをかませた値を突っ込むのがベターなのか、あるいはワンタイムトークンが良いかもだとか、cookieも併用するのかもとか、いろいろあるのかもしれませんが、私にはよくわかりません。勉強したいのであちこちのぞいていますけれど。でも気になることもあるので以下、ちょっと日記に書いてみます。質問風味であって回答風味ではありません。 いわゆるCSSXSS 一応見出しなのでキャッチー【謎】にCSSXSSという名前を使いました。でも性質から考えるとちっともXSSじゃないのでCSSXSSという名前はもうやめにし
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
