Kazuho@Cybozu Labs: String::Filter っていうモジュール書いた - 続: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について
先のエントリ「(Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について」の続き。 弾さんが「404 Blog Not Found:DHTML - 構造化テキストは構造化するのがやっぱ正しい」で示されているような DOM ベースの操作を行えば、原理的に XSS 脆弱性を防ぐことができます。ただ、クライアントサイド JavaScript によるレンダリングはウェブの構造を破壊するという点で筋が悪い(テーブルと FONT タグを利用したページレイアウトが批判されていた頃を覚えていらっしゃいますでしょうか。JavaScript によるレンダリングはウェブのリンク構造も破壊するので一層たちが悪いというのが自分の考え)ですし、サーバサイドでの DOM 操作は重たいので、できれば避けたいところです。 構造化テキストの HTML への変換は、よほど複雑な記法でない限り
The World
闇黒日記 平成二十二年九月二十一日 ウェブのコンテンツがどんどんどんどん「リッチ」になつて行く。それを何處か隅つこの邊から見てゐる私。HTMLは本來簡單なもので、誰でも「パブリッシング」出來るやうにと開發された筈だつた。見出しと本文と、あと必要ならところどころにリンクを張ると、そんな程度で、短時間で作れた筈だつた。もし、HTMLなんてものはさう云ふものなのだ、と云ふ觀念が一般に普及してゐたとしたら何うだつたらうと、未だに空想する事がある。ウェブは地味なまゝだつたらう――けれども、もし假に現實がさうだつたら、企業はそんなにウェブに御金をかける必要もなかつた筈なのだ。 今やHTMLもCSSもJavascriptも、そんなもの知らずとも文書を公開できる時代――文書、なんて認識はもうないのかもしれないな。どこの誰でも気軽に手軽に「文字を発表できる」時代です。ツイッターなんかはある意味それの究極型と
宝塚時代の天海祐希の武勇伝
知人に天海祐希のファンがいたのだが、驚いたことに彼は宝塚時代のエピソードはほとんど知らなかった。 天海は、宝塚ではかなりの伝説を作り上げてしまった人なので、これを知らないファンがいるのはもったいないなぁ、と思った。 なので、ざっくり彼女のジェンヌ時代の伝説を書いてみようと思う。 入団1年目で新人公演主役、7年目でトップスターこれは男役としては異例の速さだ。 新人公演というのは、本公演と同じ内容の演目を、入団1年目から7年目までの新人達だけで演じる公演のこと。 トップ路線に進む男役の子は普通、この新人公演で良い役をもらいながら、7年目までに一度は(新人公演で)主役をやる。 その後本公演でも、徐々に良い役をもらうようになってゆき、所属する組の三番手、二番手を経て、トップになる。 (ただしこれは天海在団当時のルールで、新専科が出来た今は、多少異なる) とは言え、いくらなんでも1年目で新人公演主演
いぬろぐ » Blog Archive » 恋し恋しと泣く蝉よりも 泣かぬ蛍が身を焦がす
[9月23日(祝・木)ヴァンフォーレ甲府戦(16:00KickOff)]「ライカくん劇場開催!」マスコットキャラクターも来場 [ 富山 ](10.09.21)(J’s goal) ライカくん、ヴァンくん、フォーレちゃんによるミニ劇場開催。 題して「ライカくんがフォーレちゃんに恋をする!」 ヴァンフォーレ甲府マスコットキャラクター ヴァンくん&フォーレちゃん 来場!! (カターレ富山公式) ライカくんから手紙が届いたよ!(ヴァンフォーレ甲府公式ブログ) お茶噴いた 甲府ラブストーリーに まさかの伏兵 カモシカと雷鳥のハーフ ライカくん。。。!
「CSS3でドラえもん」はスゴイけれど……
1. 画像は一切使ってない!?CSS3だけで描いた“ドラえもん”がすごい - はてなブックマークニュース 画像を一切使わずにCSS3だけでドラえもんを描いてみた! - 裏技shop DD CSS3 ドラえもん 画像を一切使わないCSS3で製作した新サイト「NetaGear」! - 裏技shop DD NetaGear 「すごい」と思う。そのアイデアにも技術にも感心する。ただ私は、本題から外れたところで、ちょっと違うことを考える。 2. IEは非推奨です。IEでも一応閲覧は可能ですがGoogle Chrome、firefox、Operaのようなデザインでは表示できません。 ここで今IEを使っている人に言いたい! そのブラウザを使うのをさっさとやめてくれ。あれはWeb業界の足を引っ張りまくっているお荷物なんだ! もうIEとかネタでしかないし、早く滅びればいいのにw 昔からいっているのだけれども
DHTML - 構造化テキストは構造化するのがやっぱ正しい : 404 Blog Not Found
2010年09月23日02:00 カテゴリLightweight Languages DHTML - 構造化テキストは構造化するのがやっぱ正しい うーん、気に食わない。 404 Blog Not Found:構造化テキストの間違ったエスケープ手法について make_link = function(href, text) { var a = document.createElement('a'); a.href = href; a.innerHTML = text; var div = document.createElement('div'); div.appendChild(a); return div.innerHTML; }; 何が気に食わないって、折角作ったDOMという構造をベタテキストに戻しちゃうところ。 脱構造しない例 こうすればよいのではないか。 (function(){ v
構造化テキストの間違ったエスケープ手法について : 404 Blog Not Found
2010年09月22日21:30 カテゴリLightweight Languages 構造化テキストの間違ったエスケープ手法について 昨晩のtwitter XSS祭りは、ふだんもtwitter.comは使わない私には遠くの祭り囃子だったのですが、せっかくの自戒の機会なので。 Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について 正しいアプローチは、全てのルールを同時に適用することです。 これは残念ながら(おそらく)必要条件であっても十分条件ではありません。 こういう(かなりええかげんな)正規表現でtweetをparseしていたとします。 re_http = '(?:https?://[\\x21-\\x7e]+)'; re_user = '(?:[@][0-9A-Za-z_]{1,15})'; re_hash
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
U-17女子日本代表、メッシ横山の5人抜き決勝点
| Japan.Journal(J.J co.ltd)
| Japan.Journal(J.J co.ltd)
Loading...