PHPのイタい入門書を読んでAjaxのXSSについて検討した(1) - ockeghem's blog
このエントリでは、あるPHPの入門書を題材として、Ajaxアプリケーションの脆弱性について検討します。全3回となる予定です。 このエントリを書いたきっかけ twitterからタレコミをちょうだいして、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeという本を読みました。所感は以下の通りです。 タレコミ氏の主張のように、本書はセキュリティを一切考慮していない 主な脆弱性は、XSS、SQLインジェクション、任意のサーバーサイド・スクリプト実行(アップロード経由)、メールヘッダインジェクション等 脆弱性以前の問題としてサンプルスクリプトの品質が低い。デバッグしないと動かないスクリプトが多数あった 上記に関連して、流用元のソースやデバッグ用のalertなどがコメントとして残っていて痛々しい 今時この水準はないわーと思いました。以前
サイト内リンクでページ遷移するAjaxサイトの作り方 – creamu
yensdesignというサイトで、サイト内リンクでページ遷移するAjaxサイトの作り方が公開されています。 ↑がナビゲーションになっていて、クリックすると、「#home」や「#tutorials」という形でパラメータがついて、ページ遷移します。 リロードが必要ないので、ページ移動がスムーズで気持ちいいですね。 デモは以下から。 Try the tutorial! XHTMLとCSS、JavaScriptソースが載っているので、一度見てみてください。 Creating AJAX websites based on anchor navigation Amebaとロクナナのイベントが発表されました。友人がイベントに興味を持っていたので、以前打ち合わせにきてもらったのです。その後実現に至ったようでうれしいですね。 名村くんと浦野くんも出ますね。興味のある方はぜひ!12/8正午から申し込み開始と
jQueryのAjax機能を使った投票システムのサンプルプログラム:phpspot開発日誌
AJAX User Poll Using jQuery and PHP jQueryのAjax機能を使った投票システムのサンプルプログラムが公開されています データはDBに入れる仕様で、次のような投票が実装できるようです。 シンプルなデザインなのでサイトに違和感なく組み込めるかもしれません。 ソースコードの解説記事に加え、ソースコードのアーカイブが入手できます。 改造することも出来るので参考程度に覚えておいてもよいかもしれませんね。 関連エントリ Ajax+PHP+MySQLな投票ウィジェット reddit風のGoodかBadの投票機能実装サンプル jQueryとPHPでダイナミックな投票スクリプトを作成 結果グラフがアニメーション表示のAjax投票システム
Ajaxに力を入れ始めたマイクロソフト、今度はJavaScript圧縮ツールを無料公開
マイクロソフトのAjaxに関する動きが目立ってきました。以前のエントリで紹介したように、9月にはAjaxによるWebアプリケーションを最適化して起動速度を改善するツール「Doloto」の配布を開始。 Ajaxの起動を高速化するツール「Doloto」、マイクロソフトが発表 - Publickey 10月には、Ajaxのライブラリとして最も人気のあるjQueryのマイクロソフト自身による配布を開始すると同時に、Ajaxライブラリを高速に配布するためコンテンツデリバリネットワーク、「Microsoft Ajax CDN」を立ち上げています。 マイクロソフトも配布を開始したjQuery、今後のバージョンでは大幅な性能向上とモバイル対応へ - Publickey Announcing Microsoft Ajax Library (Preview 6) and the Microsoft Ajax
MOONGIFT: » CSSを使ったクロスドメインAjax「CSSHttpRequest」:オープンソースを毎日紹介
CSSHttpRequestはJavaScriptを使ったオープンソース・ソフトウェア。AjaxはWebシステムを進化させた凄い技術ではあるが、制約も色々とある。特に大きいのがクロスドメインによるデータの授受ができないという問題だろう。その問題を解決するため、JSONPをはじめとする様々な対抗技術が生み出されている。 デモ。文字表示やFlickr検索など GETリクエストの限定されるが、CSSを使ってAjaxと同じような動作を実現するというのがCSSHttpRequestだ。これは新しい視点で、なかなか面白い。CSS側の書き方も特徴的になるが、これはPHPをはじめとするサーバ出力によって自動生成すれば良い。 Ajaxで受け渡すデータを#c0、#c1といったIDを定義して、そのbackgoundプロパティでdata URIスキーマを使って受け渡す。data URI自体は柔軟なので、バイナリに
ファンシーなデザインがいい感じのAjax&PHPなコンタクトフォーム作成サンプル:phpspot開発日誌
A Fancy AJAX Contact Form ? Tutorialzine ファンシーなデザインがいい感じのAjax&PHPなコンタクトフォーム作成のチュートリアルと、ソースコードが公開されてます。 次のようなデザインで、入力値にエラーがある場合のバリデーション機能とヒントのポップアップ機能が付いてます。 ヒントのポップアップが影付きなど、デザインがなかなか優れているのがいいですね。 CSSベースなので、デザインの変更も容易です。 関連エントリ シンプルなActionScript3で出来たコンタクトフォーム PHPとAjaxを使ったリアルタイム値チェック機能付きコンタクトフォーム「LightForm」 Ajax&PHPでアニメーションするコンタクトフォームを作成するサンプル
マルチファイルのアップロードを可能にするクールなjQueryプラグイン「uploadify」:phpspot開発日誌
JQuery File Upload Plugin Script - Demo - Uploadify マルチファイルのアップロードを可能にするクールなjQueryプラグイン「uploadify」。 「BROWSE」ボタンを押すと、ファイル選択ダイアログが立ち上がり、次のようにファイルが追加されていきます。 Upload Files を押下すれば、アップロードがリアルタイムで開始されます。 実装コードなのですが、次のようにシンプルで分かりやすいものになっています。 <body> <input type="file" name="fileInput" id="fileInput" /> <script type="text/javascript"> $(document).ready(function() { $('#fileInput').fileUpload ({ 'uploader'
ユーザのマウスの動きを保存して再生できるPHP+Ajaxな仕組み「smt」:phpspot開発日誌
(smt) simple mouse tracking // home ユーザのマウスの動きを保存して再生できるPHP+Ajaxな仕組み「smt」がなかなか興味深いです。 次のように、マウスを移動した軌跡を描画してくれ、利用者のマウスの動きを元にユーザビリティ向上に貢献できそう。 smtを使ったデモムービー集ページ mousemove イベントを使って座標をトラッキングさせてデータをサーバに保存、あとはデータを元にタイマーを使って描画するという仕組みのようで、なかなか面白いですね。 アクセスが多いとデータ量も結構なものになってきそうなので、自前でやるしかこうしたデータをちゃんと見ることは難しいのかもしれません。 このsmt は、ダウンロードしてサーバ設置型なので、遠慮なく使えますね。 関連エントリ Yahoo!のアクセス解析ツール「Yahoo! Web Analytics」 ケータイ用高機
Ajax - Lightweight Languages を実行するAPI : 404 Blog Not Found
2009年03月21日06:30 カテゴリLightweight Languages Ajax - Lightweight Languages を実行するAPI 今度はPerlだけではありません。 Perl だけではなく.... #!/usr/bin/perl warn time, "\n"; print ''.localtime; PHP も(誰だ、私がPHPを嫌いって言ってるのは:).... #!/usr/bin/php <?php echo date('r') ?> Python に... #!/usr/bin/python import datetime print datetime.datetime.now() Ruby に... #!/usr/bin/ruby puts Time.new Scheme (gauche) に... #!/usr/bin/gosh (use srf
PHPとAjaxを使った軽快ブラウザメールライフを実現できるオープンソース集:phpspot開発日誌
10 AJAX-based & PHP WebMail Clients For a Great User Experience | Noupe PHPとAjaxを使った軽快ブラウザメールライフを実現できるオープンソース集。 好きなアカウントのメールをブラウザで華麗に、軽快に読んで返信したいというニーズに応えられるかもしれないツール集です。 RoundCube Imapクライアント。綺麗なUIでアプリケーションライクに動作。そこそこ有名ですね。 Xuheki ほぼメールアプリなUIのメーラー。こちらもIMAPクライアント。ツリーとかも再現されてますね Atmail UIまでWindowsアプリそっくりにしたメーラー。IMAPだけでなくPOP3にも対応 afterlogic PHP4.1以上で動作する、POP3対応のMTA Hastymail IMAP対応。プラグインの仕組みで機能強化も可能。
Ajax - perlを実行するAPI : 404 Blog Not Found
2009年03月10日22:00 カテゴリLightweight Languages Ajax - perlを実行するAPI つくっちゃいました。 「404 Blog Not Found:Ajax - Lightweight Languages を実行するAPI」に置き換えられました。 まずはこれをご覧ください。 use strict; use warnings; use YAML::Syck; use Data::Dumper; my $n=1; print "DATA[",$n++,"]:$_" for <DATA>; print Dumper(\%INC); print YAML::Syck::Dump(\%INC); use Test::More 'no_plan'; is(1,1); is(1,0); __DATA__ use this instead of STDIN like
JavaScriptを活用した軽快なポータルを作るためのフレームワーク「jPolite」:phpspot開発日誌
Lightweight jQuery Portal JavaScriptを活用した軽快なポータルを作るためのフレームワーク「jPolite」. iGoogleみたいなポータルを作るようなjQueryベースのフレームワークです。 デモページ タブをクリックで画面が軽快にアニメーションでいい感じに切り替わります。 ページ内には小窓がコンポーネントとして登録できて中身に自由にHTMLが記述できます。 各ページは、1ページあたり1枚のHTMLモジュールとしてJavaScriptで定義できて、非常に簡単かつシンプルにポータルが作れるフレームワークになっています。 JSでモジュール定義の例 var _modules={ m101:{l:"m101.html", t:"Motivation", c:"red"}, m102:{l:"m102.html", t:"Philisophy", c:"yello
これならコンタクトしたくなる?Ajaxを使ったメールフォーム·LightForm MOONGIFT
Webサービスを使っていたり、コーポレートサイトを見ていて、問い合わせのメールを送りたくなるということは相当なコストがかかる。それだけに一通、一通を大事にしなければならない。 シンプルなメールフォーム だがフォームがいけてないデザインだったり、入力チェックがややこしかったりしたら送信する気もなくなってしまう。それは大問題と言える機会ロスだろう。そんな失敗をしないためにもLightFormを使おう。 今回紹介するオープンソース・ソフトウェアはLightForm、Ajaxを使った美麗なメールフォームだ。 LightFormはシンプルなメールフォームで、名前、メールアドレス、サブジェクトと内容が必須になっている。Webサイトも入力できるが必須ではない。ロボット防止に簡単な足し算に答える必要がある。 分かりやすい入力エラー そして入力ボックスからフォーカスを動かすと即座に必須チェックが行われる。結
書籍『Ajaxセキュリティ』に関する残念なお知らせ - ockeghem's blog
昨年の10月に刊行された書籍Ajaxセキュリティは,発刊直後に購入したが,しばらく積ん読になっていた。最近になって読み始めたのだが,いささかあきれる結果となった。HPの現役エンジニア2名の著作,一人は元SPI Dynamics社(WebInspectの開発元,HPが買収)出身,GIJOE氏の監訳ということで期待していたのだが,残念である。 残念だと思う主要な理由は,脆弱性への対策が十分に示されていないことだ。Ajaxであってもインジェクション系脆弱性が発生する可能性があること,むしろ従来型のWebアプリケーションよりもその可能性が広がることは説明されているが,肝心の対策が不十分だ。 本書第四章の後半には,対策として入力検査(バリデーション)が示されている。 4.6 適切な入力検査 4.7 リッチなユーザ入力のバリデーション しかし,入力検証だけでは,任意の文字入力を許す場合の対策はできない
AJAX APIs Playground
Google APIs Explorer Stay organized with collections Save and categorize content based on your preferences. The Google APIs Explorer is a tool available on most REST API reference documentation pages that lets you try Google API methods without writing code. The APIs Explorer acts on real data, so use caution when trying methods that create, modify, or delete data. For more details, read the APIs
逆引きAdobe Spryリファレンス
このページはAdobeシステムズのAjaxフレームワークであるSpryに関するサンプルを用意しています。Spryはバージョンアップにより機能が追加されることが多くあり、また場合によっては仕様変更が行われることもあります。このページではSpryのバージョンに合わせたサンプルを用意していますが、今後、バージョンがあがった場合には、このページに掲載しているサンプルが動作しなくなる可能性があります。あらかじめ、ご了承ください。また、取り扱っている文字コードは特別な記述がない限りUTF-8となっています。掲載しているサンプルではUTF-8のBOM (Byte Order Mark) を付加してあります。BOMが付加できない場合にはSafari 2で文字化けすることがありますが、その場合にはKawa.netのサイトにある文字コード変換スクリプトを使用してSafari 2で文字化けしないようにしてくださ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IBM Developer
IDEA * IDEA
[JS]jQueryで実装するアクセシブルでフレキシブルなタブ
IDEA * IDEA
