あまり知られていない脆弱性:DOM Based XSSにご用心|アークウェブのブログ
こんにちは、SEの進地です。 XSS(Cross Site Scripting)脆弱性の中であまり注意を払われていないタイプにDOM Based XSSというものがあります。アナウンス自体は随分と昔から行われており、webappsec.orgでも2005/7/4にAmit Klein氏が"DOM Based Cross Site Scripting or XSS of the Third Kind"を発表しています。 Web 2.0的アプリなどでのAjaxの普及でJavaScriptが多用される現在のWeb開発では、DOM Based XSSが入り込む可能性は従来よりも高まっています。そこで、今回はこのDOM Based XSSについて説明しようと思います。 DOM Based XSSとは何か? 一般的にXSS脆弱性と聞いて思い浮かべるのは、攻撃者の悪意ある入力データ(JavaScript
フォームコントロールのデフォルト値: Days on the Moon
WebKit のコントロール値キャッシュ対策 「日本野望の会-Yabooo.org > Safari/Webkitのおせっかいキャッシュとその対策。」にコメントしたはずなのですが、いつの間にかコメントが消えているようなので推敲の上再掲。 上記のページで問題にしているのは、Safari において bfcache を無効にしていても、動的に追加したフォームコントロールの値がキャッシュされた値に書き換えられてしまうことです。これに対し、文書中のコントロールをすべて記憶し、文書のアンロード時にそれらの名前 (name 属性の値) を変更することで解決を図っています。 しかし、書き換えられるのは一時的な値のみで、コントロールのデフォルト値 (フォームをリセットしたときに設定される値) まで変化するわけではありません。ならば、コントロールが文書中に挿入されたときに、その値をデフォルト値に設定してやれば
ノーブレークスペース - Wikipedia
コンピュータにおいて、ノーブレークスペース(英: no-break space, non-breaking space, NBSP)は、スペースの箇所での自動的な改行を防ぐ特殊なスペースである。非分割空白[1] [2][注釈 1]とも呼ばれる。HTMLのように空白文字の並びを1つのスペースにまとめるシステムで、行内に複数のスペースを入れるために使うこともできる。 HTMLでは、通常のスペースの幅のノーブレークスペースは または   と表される。Unicodeでは U+00A0 に割り当てられている。その他の幅のノーブレークスペースも存在する(#変種を参照)。 英語などわかち書きをする言語において、文の途中で改行(行の折り返し)をする場合は単語と単語の間(スペース)で行う。テキスト処理ソフトは、スペースがある箇所はどこでも自動的な改行をしても良いものとみなすが、ノーブ
今日はIEのメモリリーク対策に注力した - SEの行き着くところ…
参考にしたのはココ。IEのメモリリーク問題DOM オブジェクトとメモリリーク: Days on the Moon Internet Explorer 繝ェ繝シ繧ッ 繝代ち繝シ繝ウ繧堤炊隗」縺励※隗」豎コ縺吶k Googleさんに「IE メモリリーク 循環参照」で聞いた結果の上3件ってだけやけど・・。 「念のため」も含めてやったのもあるので全部が効果あったのかはわからないが、俺が気をつけたポイントは以下の通り。 DOMオブジェクトは生成後すぐにDOMツリーに追加する今まではcreateElementして、スタイルやイベントハンドラ設定した後で親ツリーに追加してた。これを生成後すぐにツリーに追加し、スタイルやイベントハンドラはその後で落ち着いてやるように変更した。 //↓こんなのを var img = document.createElement('img'); img.onmousedown
[CSS]気をつけたいIE 7のバグ -CSS-Discuss
CSS-Discussにアップされている「IE 7 Bugs」の意訳です。 省略している箇所も多数あるので、原文も参照ください。 Internet Explorer Win Bugs - css-discuss 注意: バグには、IE7のみでなく、IE 5, 5.5, 6のものも含まれています。 公開されてから時間が経っているためか、ちょっと古いものもあります。 IEのフォントサイズのバグ フォントサイズの継承 IEの相対指定のフォントサイズの継承は、うまく機能しません。 相対指定を行う場合、emより%で指定を行う方が便利です。もし、em指定を行う場合は最初に%指定を行ってください。 例: body{ font-size: 100.01%; } ※100%の代わりに100.01%を使用するのは、Operaでの継承バグの回避のためです。 キーワード指定でのサイズ フォントサイズに「small
![[CSS]気をつけたいIE 7のバグ -CSS-Discuss](https://cdn-ak-scissors.b.st-hatena.com/image/square/bc54860ba06deaa45382cf2bddc929515def0354/height=288;version=1;width=512/https%3A%2F%2Fcoliss.com%2Fshared%2Flogo-2014050501-en.png)
John Resig - DOM DocumentFragments
I was playing around with DOM DocumentFragments recently, in JavaScript, seeing what I could make with them. Roughly speaking, a DocumentFragment is a lightweight container that can hold DOM nodes. It’s part of the DOM 1 specification and is supported in all modern browsers (it was added to Internet Explorer in version 6). In reading up on them I came across an interesting point, from the specific
DOM操作 Samples /Core
JavaScript ガイド:高橋 登史朗 Ajaxなど、何かと最近騒がれているJavaScriptの最新情報とその活用方法を解説します。 掲示板 取材依頼 問合せ
The Performance of Dynamic Site (id:amachang) - monjudoh’s diary
日本Javaユーザーグループ 概要 JavaScriptの誤解 重くしている犯人 プロファイラ JavaScriptの誤解 JavaScriptは遅い 速いです 重くしている犯人 DOM DOMをフェーズに分けて考える JavaScriptとコンポーネント(C++)との通信(取得) DOMノードの追加、値の変更 スタイルの計算 レイアウトの計算 JavaScriptとコンポーネント(C++)との通信(取得) XPConnectやCOMとの通信 単純なプロパティアクセスの数十倍(IE以外は無視しておk) COMは重い 通信回数=DOMのオブジェクトの「.」の数 DOMノードの追加、値の変更 取得の場合と同じ「.」の数 ノードに変更したというフラグが立つ parent.appendChild(child)だとparentとchildにフラグが立つ。 重要:再計算がJavaScriptの実行後に
最新Webブラウザ、Web標準への対応度は? | OSDN Magazine
2008年になり、主要なWebブラウザのバージョンアップが相次いで行われている。これらのバージョンアップでは、Webブラウザ自体の機能強化が行われているほか、レンダリングエンジンについても積極的に改良が行われ、新たな機能が取り込まれている。そこで本記事では、最新Webブラウザが搭載しているレンダリングエンジンについて、それぞれが備えている機能やWeb標準規格への対応状況について比較していく。 2008年8月末、Internet Explorer(IE)8のベータ2がリリースされた。IE8ではパフォーマンスの向上や、多数の新機能が追加されており、正式版リリースへの期待も高まっているのではないだろうか。しかし、大規模な改良が加えられているWebブラウザはIEだけではない。今年6月にはFirefoxの新版であるFirefox 3がリリースされているほか、同じく6月に公開されたOpera 9.5や
MJL ― MITSUE-LINKS JavaScript Library | 制作/開発 | ミツエーリンクス
概要 MJL (MITSUE-LINKS JavaScript Library)は、ミツエーリンクスで標準利用されるJavaScriptライブラリです。 MJLは弊社内における業務効率を改善するために、統一された設計思想、利便性の向上を念頭においた上で設計・開発されました。 MJLは他のJavaScriptライブラリ群とは異なる設計思想により、独特の特徴を持ちながらも他のライブラリと補完しあえるものを目指しました。 MJLはコピーレフトライセンスであるGNU GPLに基づく自由ソフトウェア(フリーソフトウェア)です。弊社は GNU GPLに則り、本ページにてMJLの全ソースコードを公開します。 ライセンス MJLはGNU GPL Version 3(参考邦訳)のもとに提供されます。 詳細はMJL本体ファイル内のライセンス告知をご覧ください。 ダウンロード MJL本体(圧縮版) mjl.js
hxxk.jp - DOCTYPE スイッチについてのまとめと一覧表 (HTML 5 や IE 8 Beta 2 のモードスイッチなどの情報も含んだ 2008 年版 )
DOCTYPE スイッチについて再度まとめ 以前 DOCTYPE スイッチについての検証とまとめと一覧表という記事で DOCTYPE スイッチについてまとめましたが、あれから 2 年弱が経過したので、改めてまとめてみようと思います。 まとめるまでの話がけっこう長いので、一覧表だけ参照したい ! という場合は DOCTYPE スイッチの一覧表をご覧ください。 DOCTYPE スイッチとは何か そもそも DOCTYPE スイッチとは何か、というのがまず書くべきところですが、これは私が書かずとも良質のリソースが各種ありますのでそのリンクのみまとめておきます。 !DOCTYPE スイッチ 各UAのDOCTYPEスイッチについて - CSS Dencitie Mozilla's DOCTYPE sniffing - MDC Mozilla's DOCTYPE sniffing - MDC ( 日本語
)
CSS に関する互換性と Internet Explorer
Windows Internet Explorer の新しいリリースが発表されるたびに、カスケード スタイル シート (CSS) 標準のサポートは絶えず改善されてきました。 Internet Explorer 6 は、CSS レベル 1 に完全準拠した最初の Internet Explorer バージョンでした。 Windows Internet Explorer 8 は、CSS レベル 2 リビジョン 1 (CSS 2.1) の仕様に完全準拠し、CSS レベル 3 (CSS 3) の一部の機能をサポートします。 お客様の Web サイトが、以前のバージョンの Internet Explorer を含むブラウザーを対象にする場合、各バージョンの CSS 準拠レベルを確認する必要があります。 この記事では、Internet Explorer 8 でのサポート状況を含む、Internet Ex
自治体サイトWebアクセシビリティ調査2008を終えて 上/アクセシビリティコラム|ユニバーサルワークス
第67回 自治体サイトWebアクセシビリティ調査2008を終えて 上 (2008年9月1日掲載) 2008年の自治体サイトWebアクセシビリティ調査を終えて、個々のサイトはささやかな成長をしていたり、完全に保守・運用に失敗していたり、リニュリニュサギとか、ガイドラインでっかちとかさまざまなのだが、全体的には昨年度調査時とほとんど変わらない感想を抱いた。 「もう一度言いましょうか。」というノリで毒を吐くことはできるが、昨年度はある自治体のレーダーチャートの大きさとコメントが一人歩きしてしまい、当該自治体やアクセシビリティの業界のみなさんにいくらかのご迷惑をかけてしまったかもしれないという自覚があるので、今年の毒は抑え気味にしておこうと思う。 昨年度同時期のコラムにて、「各自治体ともalt属性を正しく付けることができるようになってきたよ。次のステップとして文書構造を意識してはどうですか。」とい
XSS: 今こそXSS対策についてまとめよう - 徳丸浩の日記(2008-08-22)
_今こそXSS対策についてまとめよう 沢出水(さわ いずみ)さんからトラックバックを頂戴した。 元々はホワイトリスト方式の優位は神話というエントリでホワイトリストはどう作る?を引用(批判)した事が発端の模様です。 一見真っ向対決しているようなので興味深く読ませていただいたのですが、正直、両者の主張の違いがわかりません。 どちらもXSS等インジェクション系の対策としてはアプリケーションで入力値が正しい形式の範囲内かチェックし、出力時に必要なエスケープ処理を行う、という結論に思えるんですけど… [ホワイトリストとブラックリストより引用] ご指摘の通りで、XSS対策は入り口でのバリデーションと表示(HTML組み立て)時のエスケープだ。しかし、元ブログの主題はホワイトリストとブラックリストの比較なので、「ただ、表面的に文章を追っただけでは『何をホワイトリストと呼ぶのか』という部分がだいぶ違う印象を
Multicol Google Search更新 (agenda)
注:Googleの仕様変更に伴い、このスクリプトは形骸化している。修正版はMulticol Google Search更新 / 使用上の注意事項 (agenda)で公開している。 Google検索結果のスキーマ改定に伴い、Multicol Google Searchを粛々と更新(Multicol Google Search 2008-08-21(GMScript))別にそう手間がかかるわけでもないし、いつもスキーマの分析が結構楽しい。今回のスキーマの変化で気づいたのは、なぜかGoogleが今更にして論理マークアップに力を入れ始めたこと。 検索クエリの強調表示をbタグではなくemタグでやるようになったし、検索結果アイテム達はdiv要素の羅列ではなくol要素で適切に表現するようになった。それから全体的にテーブルレイアウトが減った。検索結果のコンテクスト部分に使っていたtableレイアウトがすっ
Paint : Microsoft Paint Online
Microsoft Paint is also known as MS Paint. It is a basic graphics drawing program that has been an indispensable part of all versions of the Microsoft Windows operating system. MSP provides easy ways for creating different types of graphics with different tools. The tools include brushes, shape generators, pens, and erasers. Many users of Windows might also be unaware of its presence, considering
Mozillaプロジェクト、IE向けのCanvasプラグインを開発中 | スラド
ストーリー by hylom 2008年08月21日 19時32分 べ、べつにあんたのために作ったんじゃないんだからねっ 部門より 現在次世代のHTML仕様として策定が進められているHTML5には、「Canvas」という、JavaScriptでHTML文書内に図形を描画するための仕様が含まれている。現状でもFirefoxやOpera、SafariはネイティブでCanvasに対応しているが、Internet Explorerには現状Canvasが実装されていない。Internet ExplorerでCanvasを利用できるようにするJavaScriptライブラリ「ExplorerCanvas」もあるが、ほかのブラウザと一部挙動が異なるという問題があるほか、パフォーマンスも悪いとも言われている。 そこでMozillaプロジェクトが計画しているのが、Mozillaで使用されているCanvasの実
HTMLを理解していないウェブ開発者ってどうよ? - builder by ZDNet Japan
エンドポイントセキュリティの転機 情報セキュリティ戦略が問われる今 重要インフラ事業者としてANAが考えること ゼロトラスト対策3つのポイント ニューノーマル時代に必須なゼロトラスト セキュリティの始め方 クラウドネイティブの実現 モダンインフラの構築・運用の課題解決へ コンテナの可能性を広げるVMware Tanzu 中小企業のひとり情シスの現実 夢か幻か、はたまた現実か? ヘルプデスク業務の週休4日制を考える 日清食品グループのDX(前編) 現場が主役のDXのススメ トップの強い意思で変革に弾み EDRトップランナー対談:後編 セキュリティ戦略を転換せざる得ない背景と EDRのような手法が必要な理由に迫る 激変するビジネス環境の中でのDX モダンアプリケーション戦略への取り組みが 市場の競争力の源泉となる アプリケーションモダナイズ 求められている背景にあるビジネスの今 そして、成功の
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Technical documentation
http://diaspar.jp/node/155