JSONのエスケープをどこまでやるか問題 - 葉っぱ日記
Ajaxなアプリケーションにおいて、サーバからJSONを返す場合に、JSON自体はvalidであるにも関わらず、(IEの都合で)エスケープが不足していて脆弱性につながってる場合があるので、書いておきます。 発生するかもしれない脆弱性 JSONのエスケープが不足している場合に発生する可能性のある脆弱性は以下の通りです。 JSON内に含まれる機密情報の漏えい XSS それぞれの詳細については後述します。 開発側でやるべきこと 文字列中のUnicode文字は "\uXXXX" な形式にエスケープするとともに、ASCIIな範囲であっても「/」「<」「>」「+」も同様にエスケープすることにより、前述の脆弱性を防ぐことができます。 Perlであれば、以下のような感じになります。JSON->ascii(1) に続けて、JSON文字列を正規表現で置換しているあたりがキモになります。 use utf8; u
Big Sky :: 何も見ずにC++でjsonパーサが書けるか試してみた。
以前、kazuhoさんが書いたpicojsonの紹介をさせて頂いたのですが、あれから何度も使わせて頂いていてkazuhoさんのいる方角には足を向けて寝られないmattnです。 Big Sky :: ヘッダファイルだけでC++から使えるJSONパーサ「picojson」が凄い! kazuhoさんがやってくれました。ずいぶん前からjsonをC++でパース(SAXじゃなくてDOM)するのに小さいライブラリないかなーと思ってました。個人的にはjson-cというのを使ってたのですが... http://mattn.kaoriya.net/software/lang/c/20090702153947.htm なんど見ても綺麗なコードです。 で、先日ちょっと出張があって新幹線に乗る事があり、ちょっとルールを決めて僕にも同じ物が書けるか試してみました。 以下ルール。 picojson相当のjsonパーサを
HTMLフォームで使うデータ型のJSONスキーマ - 檜山正幸のキマイラ飼育記 (はてなBlog)
JSONスキーマで定義できるデータ型の分類をまた載せます。 基本スカラー型: integer, number, string, boolean, null リスト型: 項目がすべて同じ型である配列型、項目の個数は任意 タプル型: 決まった個数の項目を持つ配列型 タプル+リスト型: 決まった個数の項目と、それに続く同じ型の任意個の項目を持つ配列型 閉じたオブジェクト型: 決まった個数のプロパティを持つオブジェクト型 開いたオブジェクト型: 決まった個数のプロパティと、同じ型の任意個のプロパティを持つオブジェクト型 ユニオン型: 複数の型のどれかを意味する型 列挙型: 有限個の定数リテラルのどれかを意味する型 全称型: any HTMLフォームから入力として使うデータ型は次のものでしょう。[追記]マルチセットじゃなくてセットですね。[/追記] 型 フォームコントロール number input
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
