XSS対策:JavaScriptのエスケープ(その2) - ockeghem's blog
5/11の日記XSS対策:JavaScriptなどのエスケープ - ockeghem(徳丸浩)の日記に対する金床さんのコメントに触発されて、JavaScriptのエスケープについて検討してみよう。ただし、現実のアプリケーション開発においては、私はJavaScriptの動的生成を推奨していないが、これはエスケープ処理をどのように考えるかと言うレッスンのつもりで検討することにする。 金床さんのコメントで紹介されたリンクには、以下のようなガイドライン案が提案されている。 JavaScriptの文字列でのエスケープ手順としては、以下が今のところ正解っぽい感じです。 1. 「\」を「\\」に置換する 2. 「"」を「\"」に置換する 3. 「'」を「\'」に置換する 4. 「/」を「\/」に置換する 5. 「<」を「\x3c」に置換する 6. 「>」を「\x3e」に置換する 7. 「0x0D(CR)
XSS対策:JavaScriptなどのエスケープ - ockeghem's blog
昨日の日記に対して、id:ikepyonさんからトラックバックを頂戴した。内容はそちら(Tipsと考え方とXSS対策)を読んでいただくとして、興味深いテーマなので少し突っ込んでみたい。 # 日によって「です・ます」で書いたり、「だ・である」で書いているのは気分の問題なので、あまり気にしないでいただきたい Tipsだけでなく、物事の本質を見極め、何が危険で、何が安全なのかということを考える必要があると思う。 昨日の記事は、(一般的な)XSS対策として、どの文字をエスケープするのが「本質的」だったかを考えたかったのであって、あれをTipsととらえると確かに失敗する。 JavaScriptのスクリプトなどが入っている場合も昨日と同じ方法論で考えることは可能である。まずはこれを検討してみよう。 スクリプトがonXXXのイベントハンドラとして記述されている場合 この場合は、HTMLタグの属性値として
JavaScriptエスケープについて論考 - hoshikuzu | star_dust の書斎
http://d.hatena.ne.jp/hoshikuzu/20060130#P20060130BARSFAKE http://d.hatena.ne.jp/amachang/20071010/1192012056 (IT戦記 - 一行で IE の JavaScript を高速化する方法) はじめに 次のような限定されたケースにおいてなのですが。説明上の都合でこれを課題Aと呼ぶこととします。 <SCRIPT TYPE="text/javascript"> <!-- var strA = "$data"; // ・・・以下サイト運営者による処理記述例 alert(0); //--> </SCRIPT>上記のようなケースに限定してのオハナシですけれど、$dataをエスケープする方向でのXSS対策として金床さんなどによってかつて論議されて、このままでは使えそうにないと棄却されたJavaScr
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
jQueryのメソッドチェーンでifを実現するiff plugin - monjudoh’s diary
紹介 タイトル通りのplugin Ben Alman » jQuery iff: A chainable "if" statement 言及のきっかけとか 実用性がどうかとかより、以前似たようなものを実装しようとした者として、 そのシンプルな実装に感動したので言及しておく。 ちなみに私が作ったのはこの辺 条件付メソッドチェーンを実現するjQuery pluginを作ってみた - 文殊堂 if文の条件部に相当するメソッドに渡るのがtrueなら次のメソッドは実行するというのはさっくり実装出来たが、 条件付メソッドチェーン実現のためjQueryのラッパーを作ってみた - 文殊堂 複数メソッドをifの対象にするには結構七面倒くさいことをしないといけない。 と私は思っていた。 iff pluginでは、iffメソッドにfalsyな値を渡すか、 関数と引数のセットを渡してそれを実行したときにfalsy
JSでrange - 素人がプログラミングを勉強していたブログ
Pythonのrange(配列で返すほう)をJSで書く。 function range(from, to, step) { var i, a = []; if (typeof to == "undefined") { to = from; from = 0; } if (typeof step == "undefined") step = 1; if (step == 0) throw new TypeError("range() step argument must not be zero"); if (from < to) { if (step > 0) for (i = from; i < to; i += step) a.push(i); } else { if (step < 0) for (i = from; i > to; i += step) a.push(i); } re
jQuery 1.3 and the jQuery Foundation | Official jQuery Blog
Happy Birthday to jQuery! jQuery is three years old today, after being released way back on January 14th, 2006 at the first BarCampNYC by John Resig. We have four announcements for you today, we hope you’ll enjoy them! First, we have an excellent new release of jQuery ready for you to enjoy. The big features of this release are: Sizzle: A sizzlin’ hot CSS selector engine. Live Events: Event delega
jQueryを使うときに気をつけるべき8のポイント : tech.kayac.com - KAYAC engineers' blog
DAHONのBoardwalkを修理しようとしておもいっきり壊してしまいました。agoです。 普段はjQueryをメインで使用しているのですが、使っていていくつか注意すべき点があったのでまとめてみました。 (一部jQueryではなく、DOMの仕様上の制限も含まれています) 1 $().filterにstring以外のものを渡すとエラー 1.4系では修正されていました $().findや$().notは大丈夫ですが、$().filterの場合引数にjQuery objectや配列、html elementなどを渡すとエラーになります。 (たとえばjQuery objectを渡した場合、Firefoxでは「TypeError: t.substring is not a function」というエラーが発生します) 確認する ちなみに、$().findや$().notはstring以外も渡せるた
はてなブックマークのコンテンツの JavaScript を高速化する - IT戦記
はじめに 「新はてなブックマーク」になったということで、とっても便利になったのですが、ブックマーク一覧ページ*1が若干 JavaScript に時間が掛かっているみたいです。 というわけで 調査してみたいと思います。調査して、改善できそうなところは後で纏めて「はてなアイデア」にでも登録しようと思います。 この日記は調査しながら、過程を書いていくつもりです。 準備 まずは、人のサイトの JavaScript を書き換えて試してみるための環境を作ります。 作業用ディレクトリを作る とりあえず、ホームに HatenaJS というディレクトリを作ります。 $ mkdir HatenaJS $ cd HatenaJS CocProxy をダウンロードしてくる 以下から CocProxy というツールをダウンロードしてきます。 http://coderepos.org/share/wiki/CocPr
子ウィンドウから親ウィンドウのデータを書き換えたいのだ! (デザネスマガジン)
やぁ、諸君元気にしているかね? ゴールデンウィークは充実した休日を過ごせたかな? ゴールデンウィークが充実しててもしてなくても、デザネスマガジンを読めば充実するに違いない!間違いない! というわけで、今回はJavaScriptでポップアップしたウィンドウから親ウィンドウの値を変更するというJavaScriptだ、これを応用すると、某FlashサイトのようにFlashのプラグインが古かった時にHTMLを表示するというような技も可能になるので、ちょろっとチェックしておくとよいかもしれないぞ。 はい、というわけで、技術面解説担当の副編集長イトウでございます。 みなさまにおかれましては非常に何というかあれで、大変よろしゅうございmぐふっ。 はい、す、すびばせん。 す、すすめます。はい、、、ごめんなさい。 は、はい、というわけで、スマイリーさんに余計なおべっかを使っていないで先に進めと怒られたので、
EclipseのWSTでJavaScriptが文字化けするのを防ぐ方法 - とっくりばー
Eclipseってプロジェクトとかディレクトリ毎に、その中にあるファイルの文字コードを指定できるようになってるのだけど、どういうわけかWST付属のJavaScriptエディタは、その辺の指定を無視してJSファイルをISO-8859-01(US-ASCII)で開くようになってる。なんだそれ。 設定ダイアログでは、JavaScriptファイルに別の文字コードを割り当てられるようになっているけど、違うんだよ、僕は「プロジェクトとかフォルダ指定に従う」になってほしいんだよ。 で、それを解決する方法があった。 workspace\.metadata\.plugins\org.eclipse.core.runtime\.settings\org.eclipse.core.runtime.prefs
Pathtraq API を使って、はてブにアクセスチャートを出す Greasemonkey を作りました! - IT戦記
はてブのエントリーページに 以下のようなアクセスチャートを出す Greasemonkey を作りました! このアクセスチャートは、どのくらいの人がそのページに訪れたかという情報を表しています。 「このページはいつ頃から注目を集めだしたか」などの情報が一目で分かるようになります。 期間は、「24時間」から「3ヶ月」までその場で切り替えることができます。 インストールする! http://userscripts.org/scripts/source/32521.user.js ブックマークレットを使ってみる! はてブのエントリーページで以下のブックマークレットを実行してみましょう! javascript:(function(s){s.src='http://userscripts.org/scripts/source/32521.user.js';document.body.appendChi
Firebugクックブック #1 - bits and bytes
最近の中学生のはじめてのプログラミング言語がJavaScriptだったりするこの時代、最も使いやすいJavaScriptの実行環境であるFirebugは現代のコマンドラインです。UNIXコマンドラインでgrepやuniqを使って、日常の細々した処理を行うのと同じようにFirebugとjavascriptを使いこなせると、日常作業のちょっとしたことをさくっとこなすことができます。ちょっとした作業だから手作業でやってもいいけど自動でやればミスったりしないし、気分的には楽なので自動でやりたい、という作業がけっこうないでしょうか。例えば、ページの中の特定の部分の文字列をリストにしてテキストファイルに保存したい、とか。 そこで今回は私が普段よくやっている単純作業をFirebug+javascriptでさくっとかたづける方法を2回にわけてご紹介します。 ページの中からテキストや属性の値を拾う ページの
JavaScriptの巧い書き方 - Archiva
Make a note of it: Web tech, montaineering, and so on. Note: この記事は、3年以上前に書かれています。Webの進化は速い!情報の正確性は自己責任で判断してください。 Webに言語は数あれど、特に玉石混淆の激しいJavascriptの書き方について纏めてみた。間違い指摘大歓迎! 発端はYahoo!の Eric Miraglia による、YUI 式モジュールの作り方をまとめた記事。ざっくりまとめると、以下の手順になる。 YAHOO.myProject.myModule = function () { //"private" variables: var myPrivateVar = "I can be accessed only from within YAHOO.myProject.myModule."; //"private" m
二度押し防止の onsubmit で disable にするやつ :: Drk7jp
もう2年ほど前に話題になったアレなんですけど、今更ながらあるサービスでこの仕組みの導入を検討しています。 onsubmit で submit ボタンを disable にしてユーザビリティを良くする - naoyaのはてなダイアリー submit ボタン disable 技の罠 - naoyaのはてなダイアリー onsubmit で submit ボタンを < disable にしてユーザビリティを悪くするのはやめてください - のヮの うんこ♥ onsubmit で disable にするやつ - 鷹の島 onsubmit の disable 化ですが既に議論が終わっているように、onsubmit disable の実装方法として、 onsubmit イベント発生時に submit 要素を disable にして値をサーバへ渡すための hidden 要素を生成する方法 setTimeou
Contents -- Eloquent JavaScript
This file is part of the first edition of Eloquent JavaScript. Consider reading the third edition instead.
ハタさんのブログ : Javascriptによる大規模開発の覚え書き
未だに半年前のエントリにブクマされるみたいなので、もう少しjavascriptについて書いてみる。 今回は大規模化開発におけるJavascriptの注意点とかそういうの。当てはまらない環境の方もいます。(しかも基本的な事だらけで大したことは書いてないです) ほぼリッチクライアントを主目的としたjavascripterとコードを対象とします。 どちらかというと、ライブラリを提供する側の視点から 1.ログを出力せよ あなたが書いたコードは遅い、と必ず言われます。なので言われる前から、自分の書いたコードの処理時間をログするようにしましょう。 次のような処理時間を計測するロガーを作ります。 var TraceLog = function (){ this.startTime = -1; var outer = document.getElementById('_outer'); if(oute
第4回 DWRで今日から楽々Ajax
株式会社DTS ネットワーク事業本部 プロジェクトマネージャ。Javaを中心にフレームワーク開発や開発プロセス定義など幅広く活躍中。StrutsIDEコミッタ。著書「まるごとEclipse! Vol.1」(発行:インプレスコミュニケーションズ)。 今回は,Java技術者が手軽にAjax開発を行うためのフレームワークとして「DWR(Direct Web Remoting)」を取り上げます。Webアプリケーション開発では,いろいろなフレームワークを利用することが一般的ですが,その組み合わせは多岐にわたります。そうした組み合わせの特徴を損なうことなく,すぐに対応できるDWRの手軽さ,すごさを説明するとともに,Spring,Seasar,Struts,JSF,Hibernateといったフレームワークと連携する開発方法も解説します。 DWRとは? DWRは,AjaxアプリケーションをJavaで開発す
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
403 Forbidden
Software Error