L'eclat des jours(2007-01-14) - JavaScriptのおもしろさ
_ JavaScriptのおもしろさ 前回の続き。(少しずつ足してく) 表示内容を答えよ。 function false_check(x) { if (x) { alert('true'); } else { alert('false'); } } false_check(false); false_check(0); false_check(Number(0)); false_check(new Number(0)); var x; false_check(x); false_check(Boolean(false)); false_check(new Boolean(false)); false_check(Boolean(new Boolean(false))); 表示内容を答えよ。(先にタネ明かしをしておくと、IEで動かしても何がポイントかさっぱりわからないと思います) funct
form の内容がデフォルト値から変わったら色を変える JavaScript コード - swk's log
* form の内容がデフォルト値から変わったら色を変える JavaScript コード [mform] 103 users これが便利だといえる状況はだいぶ限られてはいるのだけど.文字を入力したり,チェックボックスを押したりしてデフォルトの状態から変化すると,そこの色を変えるような JavaScript のコードを書いてみた. といってもわかりにくいと思うのでまずデモ: http://www.kagami.org/mform/mform_demo.html 適用したいページで,こんな JavaScript コードをロードします. (function(){ var color_modified = '#ffff88'; var reset_when_reloaded = 1; init(); function init() { var fs = document.forms; for (v
機密情報にJSONPでアクセスするな
2007年6月7日 はてなブックマークのコメントをうけて、「常にJSONP、JSON、JavaScriptに機密事項を含めないように」という主張を改め、「クロスドメインアクセスの対策をとっていない状態ではJSONP、JSON、JavaScriptに機密事項を含めないように」という主張に関して記述しました。 こんにちは、SEの進地です。 今回から週単位でWebアプリケーションのセキュリティに関するエントリーを書いていこうと思います。 僕自身、日々勉強して精進というところですので、もし何らかの誤りがあれば是非ご指摘ください。 つっこみ大歓迎です。 今回取り上げるのはWeb 2.0なアプリケーションでセキュリティ面で気をつけるべきことの一つ、機密情報にJSONPでアクセスするなです。 JSON(JavaScript Object Notation)はJavaScript(ECMAScript)の
GMailのコンタクトリスト漏洩とプライベートJSONP - snippets from shinichitomita’s journal
GMailのコンタクトリストが外部から呼び出し可能になってしまってた件について。 Google内プライベートなはずのデータが、関係のない外部のサイトからもスクリプト経由で読み込まれてしまうというもの。 http://ajaxian.com/archives/gmail-csrf-security-flaw でもこれってCSRFっていうのかな?なんか問題がちょっと違ってるような気もするけど。CSRFは情報が抜き取れるかどうかってとこは別に関係ないはずだし。外部サイトにプライベートデータを盗まれるという脅威としてはCSSXSSに近いような。(追記:どうもCSRFの定義ってのはもうちょっと広いみたい) この騒ぎに呼応して、クロスサイトのセキュリティモデルについてまとめてあった。 http://labs.cybozu.co.jp/blog/kazuho/archives/2007/01/cross
クロスドメインでのデータ読み込みを防止するJavaScript ? - snippets from shinichitomita’s journal
GMailのコンタクトリスト漏洩のエントリのついでに。 JSONデータをscriptタグにのせて配信するサービス(JSONPなど)で、限られたサイトのみにしかそのデータを配信しないようにするためには、クライアントが送出してくるリファラ情報を使ってサービスコンシューマとなっているサイトを特定してアクセス制御する方法がある。 この方法はおそらく大部分のクライアント(ブラウザ)に対しては有効で、例えば実際にGoogle MapsなどもそれとAppKeyを組み合わせてサイトを判別しているっぽいのだけど、意図的にリファラ送出を切っているブラウザであったり、あるいはプロキシプログラムなどが自動的にリファラヘッダを除去してしまうようなクライアント環境に対しては無効になってしまう。 ということで、そんなクライアントでもなんとかならないだろうかと考えていたときにちょっと思いついた、もしかしたらこの方法なら許
JavaScriptのソースに重要なデータを埋め込むなんて….
GmailでJavaScriptのソースとしてコンタクトリストデータを埋め込んでいたため、第三者がコンタクトリストを盗めてしまう、という問題が話題になっています。 まだ詳しく調べていませんがsrc属性に指定されたソースは誰でも(どのサイトからでも)取得できるブラウザの仕様を利用したものだと思います。 比較的早くからsrc属性で他のサイトのJavaScritpが指定できる仕様のリスクは指摘されていました。Gmailでさえ重要なデータをJavaScriptのソースに埋め込んでいるのですからAjaxアプリケーションの多くに同じ脆弱性があるような気がします… 手っ取り早く不完全な方法で修正するにはリファラチェック、きちんと修正するならJavaScriptのリクエストに鍵を付けてチェックする、といった方法で対策可能です。 http://example.com/javascript_contains_
L'eclat des jours(2006-12-24) - RHG
_ MSDNの更新がわかりにくかった(継続中) 最近、オープンライセンスというのが1ライセンスから購入可能になったので、そっちに移行しようと考えた。というのは、複数年(個人の場合は2年)一括払いなんだがその代わりに普通のパッケージ価格の半額弱の計算になるからだ。と思う(と付け加えるくらいにいま一つ良くわからない)。 で、新規のオープンライセンスのVS Pro Premium(キャンペーン中)と継続のVS Architect Premiumがほぼ同じ値段で、現在VS Architectのおれは、ランクダウンになるProではなくArchitectに移行できると思うんで発注してみたが(でもProキャンペーン中はすごく安価なのでそれはそれで魅力的ではある)、その後でリンクをクリックすると5ライセンスから(これは以前の条件のはず)と書いたページとか、なんか不安になる情報しか出てこない。まともにWeb
ウノウラボ Unoh Labs: Web2.0時代のJavaScriptで注意することを5つほげほげ
GT Nitro: Car Game Drag Raceは、典型的なカーゲームではありません。これはスピード、パワー、スキル全開のカーレースゲームです。ブレーキは忘れて、これはドラッグレース、ベイビー!古典的なクラシックから未来的なビーストまで、最もクールで速い車とカーレースできます。スティックシフトをマスターし、ニトロを賢く使って競争を打ち破る必要があります。このカーレースゲームはそのリアルな物理学と素晴らしいグラフィックスであなたの心を爆発させます。これまでプレイしたことのないようなものです。 GT Nitroは、リフレックスとタイミングを試すカーレースゲームです。正しい瞬間にギアをシフトし、ガスを思い切り踏む必要があります。また、大物たちと競いつつ、車のチューニングとアップグレードも行わなければなりません。世界中で最高のドライバーと車とカーレースに挑むことになり、ドラッグレースの王冠
ウノウラボ Unoh Labs: Web2.0エンジニアのためのJavaScriptリファレンス集
GT Nitro: Car Game Drag Raceは、典型的なカーゲームではありません。これはスピード、パワー、スキル全開のカーレースゲームです。ブレーキは忘れて、これはドラッグレース、ベイビー!古典的なクラシックから未来的なビーストまで、最もクールで速い車とカーレースできます。スティックシフトをマスターし、ニトロを賢く使って競争を打ち破る必要があります。このカーレースゲームはそのリアルな物理学と素晴らしいグラフィックスであなたの心を爆発させます。これまでプレイしたことのないようなものです。 GT Nitroは、リフレックスとタイミングを試すカーレースゲームです。正しい瞬間にギアをシフトし、ガスを思い切り踏む必要があります。また、大物たちと競いつつ、車のチューニングとアップグレードも行わなければなりません。世界中で最高のドライバーと車とカーレースに挑むことになり、ドラッグレースの王冠
GT Nitro: カーレーシング・ドラッグレーシングゲーム - Google Play のアプリ
GT Nitro: Car Game Drag Raceは、典型的なカーゲームではありません。これはスピード、パワー、スキル全開のカーレースゲームです。ブレーキは忘れて、これはドラッグレース、ベイビー!古典的なクラシックから未来的なビーストまで、最もクールで速い車とカーレースできます。スティックシフトをマスターし、ニトロを賢く使って競争を打ち破る必要があります。このカーレースゲームはそのリアルな物理学と素晴らしいグラフィックスであなたの心を爆発させます。これまでプレイしたことのないようなものです。 GT Nitroは、リフレックスとタイミングを試すカーレースゲームです。正しい瞬間にギアをシフトし、ガスを思い切り踏む必要があります。また、大物たちと競いつつ、車のチューニングとアップグレードも行わなければなりません。世界中で最高のドライバーと車とカーレースに挑むことになり、ドラッグレースの王冠
JavaScriptist - javascript/ajax/サンプル/入門/リファレンス/ライブラリ
サイト更新情報 2006/12/06 よく使われているページを検索窓から簡単に辿れるようにしました。(検索窓に「prototype」と入力) 2006/11/27 JavaScript入門/応用サイトJavaScriptistオープン! 2006/11/23 試して確認できるJavaScriptオンラインエディタを公開 2006/11/20 JavaScriptリファレンス、逆引きサンプル集を公開 2006/11/19 JavaScriptライブラリ活用ページ公開 2006/11/15 JavaScriptistベース機能の構築完了 過去のサイト更新情報
Part2 JavaScript流オブジェクト指向プログラミング
JavaScriptは,きちんとしたオブジェクト指向言語であって,オブジェクトを利用した高度な開発が可能です。JavaやC++,.NET系のオブジェクト指向言語がオブジェクトの定義にクラスという概念を用いる「クラス・ベース」の考え方を採用しているのに対し,JavaScriptではひな型となるオブジェクトを元に独自の機能を付加するという「プロトタイプ・ベース」の考え方を採用している点が特徴です。 まず最初に,皆さんの誤解を解いておきましょう。それはJavaScriptは,きちんとしたオブジェクト指向言語だということです。オブジェクト指向言語と言えば,JavaやC++などが有名ですし,C#やVisual Basic 2005といった米Microsoftが開発した.NET系の言語もあります。しかしこれらの言語に比べてJavaScriptは,一段低い「Webブラウザで利用する簡易言語」といったイメ
Webアプリに使えるAjaxライブラリ8選! ― @IT
Ajaxライブラリの全体像を把握しよう Ajaxライブラリ(*注1)はすでに数多くのものが出回っていますが、多過ぎて全体像がつかめていないのではないでしょうか。今回は代表的なAjaxライブラリの一部を挙げ、それぞれを比較しながらAjaxライブラリの全体像を把握していきたいと思います。 どうして、Webアプリ開発にAjaxライブラリが必要なのか どのようなプログラミング言語でもライブラリが存在するように、Ajaxにおいてもライブラリが存在します。 初めにAjaxライブラリの必要性について見ていきたいと思いますが、ここではAjax開発ならではのライブラリの必要性を2点取り上げます(ほかの言語のライブラリと共通する必要性はあらためて取り上げません)。 クロスブラウザ対応 Ajaxの利点として、さまざまな環境における一般的なWebブラウザ上で実行できることが挙げられます。しかしWebブラウザの実装
Visioのような図が書けるJavaScriptライブラリ「Open-jACOB Draw2D 」:phpspot開発日誌
Visioのような図が書けるJavaScriptライブラリ「Open-jACOB Draw2D 」 2006年11月26日- Open-jACOB Draw2D Create drawings and diagrams with the free Javascript library. The User interface allows interactive drawing by using your standard browser. No additional software; no third party plug ins. Just run it and use it. Visioのような図が書けるJavaScriptライブラリ「Open-jACOB Draw2D 」。 次のような図形描画機能を、ライブラリを使うことで自分のツールに組み込めるのが嬉しいところです。 描画した図形
【ハウツー】Yahoo! UI LibraryでさくっとAjax! (1) Yahoo! UI Libraryを使ってユーザビリティアップ! (MYCOMジャーナル)
「マルチプラットフォーム」「利用する際に必要なものは、デフォルトでインストールされているWebブラウザとネットワークに接続できる環境のみ」といったような利便性の高さから、見ない日はないと言っても過言ではないほど浸透したWebアプリケーション。今日もいたるところで、さまざまな業務を円滑にすすめるためにWebアプリケーションが利用されている。 Webアプリケーションはハイパーリンクやフォームなど、Webブラウザの基本機能を用いて作成されている。Webブラウザ単体でできることは限られているため、ローカルアプリケーションと比較するとユーザビリティにが低くなりやすい。このため、デベロッパはWebブラウザ上で動作するJavaScriptやFlashをもちいて、そのユーザビリティを高めてきた。 ここではJavaScriptコードを記述するデベロッパの負担を軽減かつユーザビリティを簡単に高めることができる
404 Blog Not Found:perl javascript - はてブと短縮URLのMashup
2006年11月17日06:00 カテゴリLightweight Languages perl+javascript - はてブと短縮URLのMashup *LOVE IS DESIGN* - 無駄に長いURLって困りませんか?無駄に長くてわかりにくーい検索結果などの URL を、mixi の日記やブログのコメント欄に貼っているのをたまに見かけますが、ブラウザによっては画面から突き出したりレイアウトが崩れる原因になってしまいます。 FETISH STATION - 短縮URLを使ってはならない理由「短縮URL」 を生成するウェブ・サービスを紹介している記事ですが、コメント欄で指摘されているとおり、リンク先がどのサイトにジャンプするかわからないというリスク、およびセキュリティ上の欠陥があります。(記事の一部がこれを受けて修正されています。) それなら、SBMを短縮URLの元データにしてしまえ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.kikansha.jp/~yaemon/diary/tDiary/index?date=20070115
https://labs.cybozu.co.jp/blog/kazuho/archives/2007/01/cross-site_including.php
c/side | Stopping client-side attacks
Besti69 !! Exploring the World of Online Game Betting with Full of Luck.