葉っぱ日記
はじめに 久しぶりに文字コードのXSSの話が盛り上がってるので、久しぶり(3年以上ぶり!)にブログを書きました。あけましておめでとうございます。今年と来年とそのさきも3年くらいよろしくお願いします。 blog.tokumaru.org HTTPレスポンスヘッダーやHTML metaタグでの文字エンコーディング名の指定がない場合に攻撃者がISO-2022-JP特有のバイト列をHTML内に埋め込むことでブラウザーがそのコンテンツをISO-2022-JPであると誤認する、そのときに動的にJavaScript内の文字列を生成しているとするとUS-ASCIIでいうバックスラッシュではなくJIS X0201の円記号を挿入することでエスケープが無効になる、結果としてJavaScriptの文字列外に攻撃者はコードを置くことができるというのが徳丸さんの書かれている記事になります。 対策としては、徳丸さんの記
ブログに何を書かないか - 304 Not Modified
ブログと本音のあいだ - Life is Really Short, Have Your Life!!を読んで。 私は本音しか書いていない。 ただし、書く本音と書かない本音がある。 それだけだ。 こんなこと偉そうに言うことではないとも思うけれど、言っておきたかったので。このブログも思考系ブログなので、本音を書くというより自分の意見として書くといった方が正しいのかな。嘘は書かない。当然のことである。 大事な事はそっちではなく、書くべきでないことを書かないことの方。 特にオフ会だともっと顕著な話で、ネット上ではできない会話でも実際に顔を合わせればできるものですが、その会話すべてをすべてオフレポで書いて良いわけではない。その判断は難しいところではあるけれど、書くべきでないと判断したものは絶対に書かないし、口外すべきでないと判断したものは絶対に口外しない。 ブログも同じ。最初は書かないと決めていて
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
