PHPのイタい入門書を読んでAjaxのXSSについて検討した(3)~JSON等の想定外読み出しによる攻撃~ - ockeghem(徳丸浩)の日記
昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。今回はJSON等の想定外読み出しによる攻撃です。これら攻撃手法は本来ブラウザ側で対応すべきもので、やむを得ずWebアプリケーション側で対応する上で、まだ定番となる対策がないように思えます。このため、複数の候補を示することで議論のきっかけにしたいと思います。 まず、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajaxを利用したアプリケーションの概念図を引用します(同書P20の図1-23)。 前回、前々回は、(5)のHTTPレスポンスの前後で、JSON等のデータ作成(エンコード)に起因するevalインジェクションや、(5)のレスポンスを受け取った後のHTMLレンダリングの際のXSSについて説明しました。 しかし、問題はこれだけではありません。正常
PHPのイタい入門書を読んでAjaxのXSSについて検討した(2)~evalインジェクション~ - ockeghem(徳丸浩)の日記
昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。タイトルはXSSとなっていますが、今回紹介する脆弱性はXSSではありません。 作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajaxを利用したアプリケーションの概念図を引用します(本書P20の図1-23)。 Ajaxのアプリケーションでは、XMLHttpRequestメソッド等でデータを要求し、サーバーはXML、JSON、タブ区切り文字列など適当な形式で返します。ブラウザ側JavaScriptでは、データ形式をデコードして、さまざまな処理の後、HTMLとして表示します。以下に、Ajaxのリクエストがサーバーに届いた後の処理の流れを説明します。 サーバー側でデータを作成、取得 データ伝送用の形式(XML、JSON、タブ区切り文字列等)にエンコード
GDD Ajax API セッションに参加中 - When it’s ready.
リッチでダイナミックなウェブページをhtmlで簡単に MapsAPI o マーカ、リージョン o 時尾コーディング、逆ジオコーディング o ドライブダイレクション、ストリートビュー o イベント処理、コントロール処理 o 有償版もあります + 処理可能リクエスト数が10倍くらい(10000/日) + サポート + 暗号化 * EarthAPI o GoogleEarthをWebページに埋め込んで利用可能 + 地形への画像の貼り合わせ(KML) + 3Dモデルの表示 * AJAX Search API o google検索 o ニュース検索 o ブログ検索 o カスタムサーチ検索 o ニュースバー検索 o ブログバー検索 * ローカル検索 o MapsAPI用のローカル検索コントロール o 地図検索に用いる事が可能 * マルチメディア検索 o 画像検索 o 動画検索 o Book検索 o 米
Google AJAX Search API で Google検索 with はてぶ (でぃべろっぱーず・さいど)
Google AJAX Search APIを使って、Googleの検索結果にはてなブックマークのブックマーク数と、コメントを出力してみました。 Google検索 with はてぶ Google AJAX Search APIは、リリースされた直後くらいにちょっと触ってみて、それっきりになっていたのですが、ちゃんとバージョンアップを重ねてきていたんですね。 検索処理の前や後に特定の処理を実行したりできるようになっていて、びっくり(前からできた?)。 これでかなり色んなことができそう。 Google Custom Search Engineで作ったカスタム検索との連携もできるようなので、もっと遊んでみることにします。
ゆーすけべー日記
サキとは彼女の自宅近く、湘南台駅前のスーパーマーケットで待ち合わせをした。彼女は自転車で後から追いつくと言い、僕は大きなコインパーキングへ車を停めた。煙草を一本吸ってからスーパーマーケットへ向かうと、ひっきりなしに主婦的な女性かおばあちゃんが入り口を出たり入ったりしていた。時刻は午後5時になる。時計から目を上げると、待たせちゃったわねと大して悪びれてない様子でサキが手ぶらでやってきた。 お礼に料理を作るとはいえ、サキの家には食材が十分足りていないらしく、こうしてスーパーマーケットに寄ることになった。サキは野菜コーナーから精肉コーナーまで、まるで優秀なカーナビに導かれるように無駄なく点検していった。欲しい食材があると、2秒間程度それらを凝視し、一度手に取ったじゃがいもやら豚肉やらを迷うことなく僕が持っているカゴに放り込んだ。最後にアルコール飲料が冷やされている棚の前へ行くと、私が飲むからとチ
ローディング中のアニメーションGIFを生成する「Load Info - gif generator」
AJAXなどでよくあるあの「読み込み中……」みたいな感じのローディング中アニメーションをGIFアニメとして、好きな色の組み合わせでカスタマイスできるという便利なジェネレータです。現時点で99種類のパターンがあります。 詳細は以下の通り。 Load Info - gif generator http://loadinfo.net/ まずは好きなパターンをクリックして選択 小さなウインドウが開くので、色と背景色(透明も可能)、それから大きさを選んで「generate」をクリック しばらく待つと、完成するので「download」をクリックすれば保存できます。 なお、これが実際に作ったサンプルです。やっぱり背景色はちゃんと指定した方がいいかも。
にちにちほんやくを作った! - Google AJAX Language APIを試してみた2 - techlog
前に作ったサンプルを改造してみた。 日本語を入力していくと、英語に翻訳して、それを日本語に翻訳するだけ! でも自動翻訳では楽しい文章が生成される。 例えば「お腹が減った。」と入力すると お腹が減った。 Has dropped waistline. ウエストが減った。 ウエストは減ってほしい・・・。 例えば「お酒が飲みたい。」と入力すると お酒が飲みたい。 If you would like to drink alcohol. 希望される場合はアルコールを飲んでいます。 飲まされる? 上とか下とか押しただけで、イベントが発生してしまうので、無駄なリクエストが飛びすぎる。 でも制御する方法がよくわからない・・・。Googleに怒られるかな。 ちゃんと動作させるのは結構大変そう。でもちょっと動かすのはとても簡単という感じ。 Google AJAX Language APIを試してみた - tec
Google AJAX Language APIを試してみた - techlog
マイコミジャーナルに載っていたサンプルをちょっとだけ変えてみたら、なんだか楽しくなった。 dankogaiも試しているし、僕もちょっとだけ試してみた。 マイコミのサンプルではボタンを押して翻訳していたが、それをonkeydownに変えてみた。 細かい問題はたくさんあるけど、日本語を入力していくと、勝手に英語に翻訳してくれる。 なんだか自分が英語を書いているような気分になれるw # 翻訳する言語を選べば、英語→日本語もできる。 一気に入力していくと、最後のほうで入力したものが翻訳されない。 そんなときは一文字打つか、↑とか↓とか押せば再度イベントが発生して翻訳される。 非同期通信の動作は全然調べていないので・・・。 上とか下とか押しただけで、イベントが発生してしまうので、無駄なリクエストが飛びすぎる。 でも制御する方法がよくわからない・・・。Googleに怒られるかな。 ちゃんと動作させるの
%25E9%2596%25A2%25E9%2580%25A3)
JavaScript インラインフレーム(iframe)関連 - とみぞーノート
いろいろハマリがちなJavaScriptでインラインフレームを扱う場合のメモ。 特に断らない限りブラウザのバージョンは以下が前提。 iframeのwindow,documentの取得方法はIEとMozilla系(NN,FireFox)で異なる。 IEはframes配列のwindow,documentプロパティから取得できる。Mozilla系はiframeエレメントのcontentWindow,contentDocumentプロパティから取得できる。 IEでもMozilla系と同じくiframeエレメントのプロパティから取得することもできるが、contentDocumentについてはIEには存在しないので、documentはcontentWindow.documentとしてcontentWindow経由で取得しなければならない。 (1) frames配列から取得する場合 frames['xx
EditArea ソースコード編集専用のJavascriptエディタ | 秋元@サイボウズラボ・プログラマー・ブログ
via Ajaxian EditAreaは、HTMLフォームでソースコードを編集するためのJavascriptライブラリ。 デモページで使ってみていただくのが一番わかりやすい。 機能リストのところを訳すと、 スクリプトをインクルードして関数一個呼ぶだけ タブが打てる(これはいい) 検索と置換 シンタックスハイライト機能あり。他の言語用にカスタマイズもできる オートインデント 行番号表示 多言語対応。日本語も 高速化用に、ライブラリを連結して圧縮(gzip)するPHPスクリプト同梱 複数配置可能 全画面モード プラグイン対応 保存や読込時のフックあり 動的なコンテンツ管理が可能(?) 他Javascriptライブラリと共存可能 主要ブラウザに対応。対応状況はこちらに。 これいいんじゃない? > 西尾さん この記事は移転前の古いURLで公開された時のものですブックマークが新旧で分散している場合
自分のサーバーでメッセンジャーを運用できる『ajax im』 | 100SHIKI
なにかと便利なメッセンジャーであるが、自分のサーバーで運用したい、というニーズもあるだろう。そうしたときに便利そうなのがajax imだ。 このサイトではサーバーにインストールする、Ajaxを利用したメッセンジャープログラムをダウンロードすることができる(サーバー側はPHPで動作)。 デモを試してみればわかるが、スタイリッシュなインターフェースと軽快な動作がなかなか小気味良い。 サイトのユーザー向けにちょっとしたツールを提供、といった利用が可能だろう。またソースごとダウンロードできるのでプログラミングの勉強にも最適だ。 便利なツールを自分のサーバーで提供できるようにする。そうした発想は悪くないですね。
よくある質問っぽいののjQueryを使ったサンプル|CSS HappyLife
2007年12月6日追記 IE6で選択中のタブの上が切れていたのを修正しました。 具体的にはcss/style.cssの35行目にfloat: left;を追加しております。 いろんなサイトで見かける「よくある質問」。 一番多いパターンは、リストで質問があって、アンカーで回答に飛ばす方法だと思うです。 特別ソレがいけてないとかは思わないんですが、飛んだ後に「戻るボタン」で戻らない人とかは、毎回ページトップ押したり、スクロールして戻ったりと案外手間だったりするわけです。 それならそういった手間が掛かるかも知れないことを少しでも省けないかしら?って事で、jQueryを使ってタブ型で折りたたまれたよくある質問っぽいサンプルを作ってみました。 (単純にボクがこのスタイルが一番見やすくて好きってだけだったり) サンプルページ サンプルダウンロード(Zip:20KB) メインのCSSファイル (サンプ
prototype.jsを読み解く:第1回 Prototypeライブラリ(1〜197行目)|gihyo.jp
他のライブラリや、自分のコードと共存させるときは、これらの名前と衝突しないように気をつける必要があります。同じ名前を使ってしまうと、コードがロードされた順番によって挙動が変わる、というようなわかりにくい問題が発生してしまう場合が出てきます。 オブジェクト、クラスの使われ方 ライブラリ内では、上記の名前空間は大きく分けて以下のような使われ形をしています。 その下に別のオブジェクトを入れるための親名前空間として使う Class.create()を使って Prototypeライブラリ風のクラスとして定義する Object.extend()を使って他のクラス、オブジェクトから継承されることを前提とする関数を集める コードを簡潔に記述する為に短い名前の関数として使う 特に、Object.extend()を使って継承を実現している箇所が多く、最終的にどのオブジェクト・クラスにどのメソッドが定義されてい
第4回勉強会 - GWT - PukiWiki
インストール † GWT公式ページ からSDKをダウンロード、インストールはアーカイブを展開して好きな場所に配置後、GWTのトップディレクトリ(projectCreator.cmd などがある)にパスを通しておく。 ↑ プロジェクトの新規作成(Eclipse用) † 以下、C:\eclipse\workspace を Eclipse のワークスペースでコマンドラインから実行。 > mkdir sample01 > projectCreator -eclipse sample01 -out sample01 > applicationCreator -eclipse sample01 -out sample01 net.hakkaku.sample01.client.GwtSample projectCreator -eclipse か -ant いずれかのオプションをつけて実行する。-ec
GWTとYahoo!のAPIを使って画像検索アプリ! - @IT
前回「JavaをAjaxに変換するグーグルのGWTを使ってみよう」では、Google Web Toolkit(以下GWT)の概要を紹介しました。 GWT最大の特徴は、JavaでAjaxが開発できることです。Ajaxアプリケーションのクライアント側をJava言語で開発し、それをピュアなHTMLとJavaScriptに翻訳する「Java-to-JavaScriptコンパイラ」というユニークな技術をコアとした開発手法にあります。 具体的なAjaxアプリケーションを実際に作成することで、GWTのプログラミングやウィジェットあるいはリモート・プロシージャ・コールの機能といった本質的な要素へと迫っていきましょう。
第1回 JavaScriptレスでAjax開発!
株式会社DTS ネットワーク事業本部 プロジェクトマネージャ。Javaを中心にフレームワーク開発や開発プロセス定義など幅広く活躍中。StrutsIDEコミッタ。著書「まるごとEclipse! Vol.1」(発行:インプレスコミュニケーションズ)。 この連載では,現場のJava開発者が気になるJavaフレームワークを詳細に解説します。今後利用実績が伸びそうなフレームワーク,多少メインストリームから外れているけど,ユニークで注目に値するフレームワークなどを,一つずつ取り上げてじっくり解説していきます。今すぐでなくても,いずれ仕事に役立つはずです。ぜひ読んでください。 第1回では,最近人気のAjaxアプリケーションを簡単に作れるフレームワークを取り上げます。Ajaxは,Webアプリケーションにリッチなユーザー・インタフェース(UI)をもたらす仕組みとして非常に注目されています。基礎的なアーキテク
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
第19回html5とか勉強会 PJAX ~HTML5時代のAJAXサイトプラクティス~
https://labs.cybozu.co.jp/blog/kazuho/archives/2007/02/keeping_comet_alive.php
Ajax/Javascript/Dhtml examples and demos to download
IBM Java開発者のためのAjax: Google Web Toolkitを探る : Java : dW - Japan
