jQueryにWebサイトにインジェクション攻撃、不正コード挿入の報告も
jQueryはWebサイトが攻撃に遭ったことを確認した。セキュリティ企業のRiskIQは、jQueryのWebサイトに不正なコードが仕込まれているのを見つけたと伝えていた。 多くのWebサイトで使われているJavaScriptフレームワーク「jQuery」のインフラチームは9月24日、jquery.comのWebサイトに対する攻撃を確認したと発表した。今回の攻撃はWebサイトの改ざんを狙ったもので、マルウェアが仕込まれたわけではないと強調している。 これに先立ちセキュリティ企業のRiskIQは9月18日、ユーザーをマルウェア感染サイトに誘導する不正コードがjQueryのWebサイトに仕込まれているのが見つかったと伝えていた。このマルウェアに感染すると、ユーザーの情報などを盗まれる恐れがあるという。 一方jQueryでは9月24日現在の情報として、「現時点でjQueryのWebサイトからマル
jQuery 1.8 で XSS 対策に .parseHTML メソッドが追加
jQuery の $ 関数はセレクタによる絞り込み、HTML 生成、ready イベントコールバックの3つのケースに使われますが、開発者がセレクタとして想定したものが HTML 生成として解釈され、XSS を引き起こすことがあります。次のコードは HTML と解釈され、error イベントハンドラに指定された alert が実行されます。 $("#<img src=/ onerror=alert(1)>"); 防衛策として jQuery 1.9 では $ 関数に渡すことのできる HTML に見える文字列の制約を厳しくするため、従来は認識できた文字列が認識できなくなる場合の回避策および、特に単独の要素を生成したり、外部のデータから文字列を生成する場合のために $.parseHTML を使うことをおすすめするとリリース記事に書いてあります。 .parseHTML メソッドの実装を見ると戻り値が
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JavaScript かも日記: 【Ajax】Basic認証ページから読み込む
