[B! JavaScript][HTML][xss] msakamoto-sfのブックマーク

msakamoto-sf id:msakamoto-sf

JavaScriptとHTMLとxssに関するmsakamoto-sfのブックマーク (8)

Live DOM Viewer++ | XSS Academy
msakamoto-sf 2020/10/22
html

DOM

domxss

xss

security

SecurityTool

javascript
リンク
Prevent DOM-based cross-site scripting vulnerabilities with Trusted Types | Articles | web.dev
DOM-based cross-site scripting (DOM XSS) happens when data from a user-controlled source (like a username, or a redirect URL taken from the URL fragment) reaches a sink, which is a function like eval() or a property setter like .innerHTML that can execute arbitrary JavaScript code. DOM XSS is one of the most common web security vulnerabilities, and it's common for dev teams to accidentally introdu
msakamoto-sf 2019/02/17
Chrome

xss

javascript

HTML

Security

google
リンク
Vue.js で XSS を作り込まないために気を付けること - セキュアスカイプラス
はじめにはじめまして、福岡オフィスで働いている前平です。セキュアスカイ・テクノロジーでは、すでにいくつかのカテゴリのブログを発信していますが、技術を気軽に発信したり、エンジニアが普段の業務でどのような技術に触れているのかを紹介したりすることを目的として、新しく「エンジニアブログ」が立ち上がりました。本記事では、最近になってようやく (汗) 検証した Vue.js でのクロスサイト・スクリプティング (XSS) について紹介します。なお、本記事の内容は私見に基づくものであり、所属組織を代表するものではありません。前提本記事では Vue.js を使って XSS の脆弱性を作ってしまうようなケースを説明しますが、その他の JavaScript のライブラリ/フレームワークを使った場合でも同様のリスクがある可能性があります。検証で利用したバージョン Vue.js v2.5.16 (サ
msakamoto-sf 2018/08/01
xss

https

javascript

HTML

DOM

Vue.js
リンク
ブラウザ上でMarkdownを安全に展開する - 葉っぱ日記
不特定のユーザーが入力したMarkdownをブラウザ上でJavaScriptを使ってHTMLに変換するという場面においては、JavaScriptで変換してHTMLを生成するという処理の都合上どうしてもDOM-based XSSの発生を考えないわけにはいかない。かといって、MarkdownをパースしHTMLを生成するという処理すべてをXSSが存在しないように注意しながら自分で書くのも大変だし、markedやmarkdown-jsなどの既存の変換用のJSを持ってきてもそれらがXSSしないかを確認するのは結構大変だったりする。そういった場合には、Markdownから生成されたHTMLをRickDOMを通すことで、万が一HTML内にJavaScriptが含まれていたとしてもそれらを除外し、許可された要素、許可された属性だけで構築された安全なHTMLに再構築することができる。さらに、そうやって生成
msakamoto-sf 2015/01/31
security

JavaScript

HTML

markdown

XSS
リンク
文字列からHTMLを組み立てる話 Shibuya.XSS techtalk #5
msakamoto-sf 2014/08/08
XSS

xhr

security

javascript

HTML

web開発

DOM
リンク
JavaScript文字列の動的生成におけるエスケープ - 葉っぱ日記
「JavaScript文字列を動的生成する」と一言で言っても、例えば <html>... <script> // HTML内のscript要素内に生成 var s = "ここに動的生成される"; </script> だったり、 <div onclick='foo("ここに動的生成される");'> だったり、 <script src="external.js"></script> // external.js var s = "ここに動的生成される"; だったり、さらに複雑な組み合わせだったりといろんな状況があって、基本的には「JavaScriptとしてのエスケープ」に加えてその外側の(場合によってはネストしている)コンテキストに応じたエスケープが必要、という話。で、面倒だったら var s = decodeURIComponent( "ここに動的生成される" ); にして、生成する側はU
msakamoto-sf 2013/11/09
security

XSS

JavaScript

HTML
リンク
Manual - Documentation - Zend Framework
Caution: The documentation you are viewing is for an older version of Zend Framework. You can find the documentation of the current version at: https://docs.zendframework.com/zend-escaper/ Escaping Javascript — Zend Framework 2 2.1.5 documentation Zend\Escaper Escaping Javascript¶ Javascript string literals in HTML are subject to significant restrictions particularly due to the potential for unquo
msakamoto-sf 2013/04/27
JavaScript

HTML

Security

PHP

XSS
リンク
HTML5 Security Cheatsheet
HTML5 Security CheatsheetWhat your browser does when you look away...
msakamoto-sf 2012/06/25
HTML5

チートシート
リンク
1

お知らせ

もっと読む

公式Twitter

@HatenaBookmark
リリース、障害情報などのサービスのお知らせ
@hatebu
最新の人気エントリーの配信

キーボードショートカット一覧

j次のブックマーク

k前のブックマーク

lあとで読む

eコメント一覧を開く

oページを開く

設定を変更しましたx