SCRAPBLOG : nsIScriptSecurityManager で危険なURIを除外する
nsIScriptSecurityManager の checkLoadURI や checkLoadURIStr メソッドによって、ある URI のページからリンクされる別の URI がポリシーに沿ったものであるかどうかを判別することができる。 以下のサンプルは、現在のURI (sourceURI) に対して、リンク先のURI (targetURI) が javascript: や data: プロトコルで表された危険が潜む可能性のある URI であるかどうかをテストしている。 var sourceURI = "http://www.example.com/"; var targetURI = "javascript:alert('Blah');"; var SECMAN = Components.classes["@mozilla.org/scriptsecuritymanager;1
Sage 1.4.5 に今も残る深刻な脆弱性について (ひぐまのひまグ)
本家よりFirefox 3.6対応版の Sage 1.4.5 がリリースされました。開発者ブログによると「セキュリティを改善した」とのことなので早速テストしてみました。 その結果、このバージョンにおいても依然として幾つかの脆弱性が残っていることを確認しました。 Roberto Suggi Liverani氏が報告した脆弱性のうち、link要素内に特殊なURIを埋め込む攻撃に対して依然として脆弱ですし、それどころか、後述のようにエントリ本文に対して従来よりも簡単にスクリプトを埋め込むことができるようにさえなっています。一体何を修正して何を確認したのか、大いに疑問を感じざるを得ません。 公平のために付言すれば、一応セキュリティ面において若干の改善が行われたのは事実のようですが、残念ながらその改善はこれらの脆弱性に対しては効果を発揮していません。一体どこに問題があるのか、ポイントは3つあります。
Collection of Free and Useful Tools for Javascript Developers
Documentation ToolsjGrouseDoc jGrouseDoc is a tool allowing generation of API documentation from the comments in the source code and allows you to document all the necessary constructs, functions, cariables, classes, interfaces, namespaces and others and produces highly customisable output. Official Link Top ↑ JS Doc Toolkit JSDoc Toolkit is an application in JavaScript for automatically generatin
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
