はじめに 対象イベント 読み方、使い方 Remote Code Execution(RCE) 親ディレクトリ指定によるopen_basedirのバイパス PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス JavaのRuntime.execでシェルを実行 Cross-Site Scripting(XSS) nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化 GoogleのClosureLibraryサニタイザーのXSS脆弱性 WebのProxy機能を介したService Workerの登録 括弧を使わないXSS /記号を使用せずに遷移先URLを指定 SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行 SQL Injection MySQ
Still X.S.S. - なぜいまだにXSSは生まれてしまうのか? - GMO Flatt Security Blog
XSSこわい 若頭: おいお前ら、なにかおもしろい遊びをしねえか。こんなにみんなで集まる機会もそうねえだろう エンジニア佐藤: そうですねえ、こんなのはどうでしょうか。人間誰しも怖いものが1つはありますから、それをみんなで教えあってみましょうよ 若頭: そりゃあおもしれえな。そうだなあ、おれはヘビが怖いね。ありゃ気味が悪くてしょうがねえ エンジニア山田: 自分はカエルを見ると縮み上がってしまいます、テカテカしていてどうにも苦手で。佐藤さんは何が怖いんですか エンジニア佐藤: 私は、XSSがこわいです エンジニア八島: あはは!何言ってんですか佐藤さん。XSSなんてこわいことないですよ エンジニア佐藤: ひいい、名前を聞くのも怖いです エンジニア山田: XSSなんて、フレームワークさえ使っていればきょうび起こらないですからねえ。佐藤さんは臆病だなあ その晩、エンジニア佐藤を目の敵にしている町
公開日2021-09-06タグHTMLレイアウトや装飾目的で、中身のない div 要素や span 要素、いわゆる「空 div」「空 span」を作ることはままある。しかしそれは仕様として妥当なのだろうか? 目次 レイアウト目的の空 div の例 装飾目的の空 span の例 HTML にレイアウト目的や装飾目的のための要素はない div と span の仕様から探る フローコンテンツ フレージングコンテンツ コンテンツモデルにおける text "nothing" コンテンツモデル ol, ul, menu 要素 パルパブルコンテンツ カスタムエレメント トランスペアレント ここまでのあらすじ 僕の結論 レイアウト目的の空 div の例下記は使う場所に応じて幅や高さを任意に設定できる例だ。.Spacer が空 div になっている。 <div class="Hero">...</div>
C# Advent Calendar 2021の参加記事となっています。去年は2個エントリーしたあげく、1個すっぽかした(!)という有様だったので、今年は反省してちゃんと書きます。 スクレイピングに関しては10年前にC#でスクレイピング:HTMLパース(Linq to Html)のためのSGMLReader利用法という記事でSGMLReaderを使ったやり方を紹介していたのですが、10年前ですよ、10年前!さすがにもう古臭くて、現在ではもっとずっと効率的に簡単にできるようになってます。 今回メインで使うのはAngleSharpというライブラリです。AngleSharp自体は2015年ぐらいからもう既に定番ライブラリとして、日本でも紹介記事が幾つかあります。が、いまいち踏み込んで書かれているものがない気がするので、今回はもう少しがっつりと紹介していきたいと思っています。それと直近Visual
Introducing Ezno
Ezno is an experimental compiler I have been working on and off for a while. In short, it is a JavaScript compiler featuring checking, correctness and performance for building full-stack (rendering on the client and server) websites. This post is just an overview of some of the features I have been working on which I think are quite cool as well an overview on the project philosophy ;) It is still
制作事例:Lottieのアニメーションを手描き風に動かしたい! SVGとWebGLを使った2つのアプローチ ICSでは2022年に株式会社ニコン様の中長期ビジョンを紹介する特設サイト『2030年のありたい姿』の実装を行いました。この記事ではサイトのメインビジュアルとして使用している手描き感のあるアニメーションを実現するために検証・実装したSVGとWebGLの技術ご紹介します。SVGやWebGLを活用したビジュアル表現に興味のあるエンジニアはもちろん、ウェブ技術を使ってどのような表現ができるのか知っておきたいディレクター・デザイナーの方も是非ご覧ください。 ▼ 特設サイト『2030年のありたい姿』 「人と機械の共創」を魅力的なアニメーションで描きたい 『2030年のありたい姿』の重要なキーワードが「人と機械が共創する社会」でした。特設サイトではこのビジョンを広く一般の方向けに伝えるため、株式
画像変換の WebAssembly 利用 本稿では、画像サイズ変更やフォーマット変換といった処理を WebAssembly で行う方法について紹介します。また、必要に応じてマルチスレッドを使用することで、処理を並列化し、より高速な実行を実現できます。 なぜ画像変換を WebAssembly で行うのか JavaScript は大量のビットデータの扱いには強くありませんが、WebAssembly は SIMD(Single Instruction, Multiple Data)などを使い、並列処理をサポートしています。これにより、画像変換のような重い計算を高速化できます。また、WebAssembly はブラウザだけでなく、Node.js や Deno など他の環境でも利用可能です。 今回は Emscripten を使用して C++でコンパイルを行います。WebAssembly に関して Ru
<!-- Generated by まとめくす (https://2mtmex.com/) --> <div class="article_mid_v2"> <div id="article_mid_v2"> <script type="text/javascript"> (function(){ var ua = window.navigator.userAgent; var android_reg = /android/i; var android_rand = Math.floor(Math.random() * (100)) + 1; var ios_rand = Math.floor(Math.random() * (115)) + 1; if (ua.match(android_reg)) { if (100 >= android_rand) { var elements =
Syntax Highlighting in Hand-Coded Websites The problem I have been trying to identify practical reasons why hand-coding websites with HTML and CSS is so hard (by hand-coding, I mean not relying on frameworks, generators or 3rd party scripts that modify the DOM). Let's say, I want to make a blog. What are the actual things that prevent me from making—and maintaining—it by hand? What would it take t
Using Ultra, the new React web framework - LogRocket Blog
Table of Contents What is Ultra? Features of Ultra Ultra vs Aleph.js The drawbacks to using Ultra Getting started with Ultra Building components in Ultra Deploying an Ultra app In the world of frontend development, React is one of the most popular libraries for developing components for web applications. React v18 includes new features, such as concurrent rendering, and it supports SSR with React
Next.js 13のappディレクトリの基礎(Layout, Suspense, Data Fetching...)
Next.js 13の新機能であるappディレクトリは本記事公開時はbetaで現在も開発中ですがNext.js 13でプロジェクトを作成後にNext.jsの設定ファイルであるnext.config.jsでexperimentalとして設定を行うことで利用することができます。今後仕様が変わると思いますがappディレクトリの設定方法を中心にNext.js 13の機能説明を行っています。 プロジェクトの作成 create-next-appコマンドを利用してプロジェクトの作成を行います。プロジェクト名はnextjs-13に設定していますが任意の名前をつけてください。JavaScriptとTypeScriptのどちらかを選択することができますが本文書ではTypeScriptを選択します。プロジェクト作成時にappディレクトリを利用するかどうかも聞かれます。 % npx create-next-app
Next.jsは現在最も人気のあるReactベースのフルスタックのJavaScriptフレームワークです。バージョンがアップする毎に新しい機能が次々に追加されNext.js13からServer ComponentsなどReactの最新機能を利用したApp Routerが登場しました。App Routerはファイル名でルーティングを設定していた既存のPage Routerとは全く異なる機能で設定方法も一から学び直す必要があります。新たにプロジェクトを作成するのであればApp Routerを利用することが推奨されていますが同時に両方の機能を利用することも可能です。 次々に新しい機能が追加される反面、ネット上に公開されている記事もすぐにOutDatedなものになっています。この文書もすぐにOutdatedなものになってしまうと思いますが現在(2023年5月)の最新バージョン13.4のドキュメント
Indoor VivantsAnton Sviridov. I love reinventing the wheel and I usually use Scala for that. TL;DR We are deploying an app to Cloudflare using Scala.js We are using ScalablyTyped We are using Scala 3 heavily Code on Github Deployed app Cloudflare API bindings Welcome to the "Put ma Scala on yo cloud" series I want to say that I'm kicking off a blog series, but even I don't believe that. If I did,
Turbo ソースコードの実体を確かめる|万葉
こんにちは、万葉でエンジニアをしている吉原です。 この記事では、Hotwire の中核である Turbo がブラウザで動作するために、ソースコードがどのように届けられているか、どこに配置されているかを探求していきたいと思います。 Rails 7 ではデフォルトで Turbo を使用することができます。あまりに簡単に利用できるので、私はどのようにコードが実行されているかがわからず、魔法のように感じていました。 こういった便利な機能は、フロントエンドの知識や関心が薄いエンジニアにとってはブラックボックスになってしまいがちだと思います。しかし、ブラックボックスとして利用しているだけでは、いざという時に問題解決ができなかったり、他のフレームワークとの組み合わせなど Rails を離れての利用ができなかったりと、歯がゆい部分があるのではないでしょうか。 そこで、これから Turbo のソースコードが
As I've been using Next.js professionally on my employer's web app, I find the core design of their App Router and React Server Components (RSC) to be extremely frustrating. And it's not small bugs or that the API is confusing, but large disagreements about the fundamental design decisions that Vercel and the React team made when building it. The more webdev events I go to, the more I see people w
エディターはVisual Studio Code(VSCode)を利用して拡張機能でVolarをインストールしてWindowsで動作確認を行っています。 TypeScript環境の構築 Vue3はTypeScriptで記述されていることからVue3でTypeScriptを利用したい場合、公式のプロジェクト作成ツールを利用することで TypeScriptの開発環境を簡単に構築することができます。 現在Vueプロジェクトを作成する際に推奨されている方法ではnpm init vue@latestコマンドを実行してプロジェクトを作成します。コマンドを実行すると内部でcreate-vueが実行され、TypeScriptを含めVueプロジェクトで利用頻度の高い機能を選択してインストールすることができます。 npm init vue@latestコマンド実行後に選択できる機能については下記の文書で公開し
Obsidian 小技集
Obsidianを使う上でのちょっとした小技などをまとめます。 更新履歴 2023年11月:「Windowsエクスプラーラー フォルダへのリンク」を追加2023年2月:「音楽ファイルの再生など」を追加2023年1月:「主なホットキー設定」を追加 ・変更に伴う追従が面倒なため以下では英語版ヘルプを参照していますが、有志の手により日本語に翻訳されたヘルプも用意されています。必要に応じて参照してください。 ・Windows版での動作です。他プラットフォームでの確認はしていませんので各自で確認をお願いします。 ・Obsidian公式には各文書のことを「ノート」と表記しますが、以下では「ファイル」あるいは「文書」などとしています。 下記内容はあくまでヘルプの一部を操作経験を元にわかりやすく噛み砕こうとしたたものであり、ヘルプを全部読みこなすことで同等以上の知識を得ることができます。また私自身が理解し
__ _/\ \ /' \ \ \ __ __ ___ ___ /\_, \ \ \/'\ /'__`\ /'__`\/' __` __`\/_/\ \ \ , < ___ /\ \L\.\.\ __//\ \/\ \/\ \ \ \ \ \ \\`\____ /\___\ \ \__/.\_\\____\ \_\ \_\ \_\ \ \_\ \_\ \____\ \/___/ \/__/\/_//____/\/_/\/_/\/_/ \/_/\/_/\/____/ JavaScript Hacks and Creative Coding Created by Martin Kleppe aka @aemkei. Projects Hello World 1K - spinning globe embedded in JavaScript code JSFuck.com - write an
Twigとは?現代のPHP開発に必要なテンプレートエンジン Symfony製テンプレートエンジンが選ばれる3つの理由 Twigは、PHP用の高速で拡張性のあるテンプレートエンジンとして、現代のWeb開発において重要な位置を占めています。Symfonyフレームワークのデフォルトテンプレートエンジンとして採用されており、以下の3つの主要な理由で多くの開発者から支持されています。 優れた開発者エクスペリエンス 直感的で読みやすい構文 自動エスケープによるセキュリティ対策 IDE対応による強力な補完機能 高いパフォーマンス コンパイルされたPHPコードとしてキャッシュ 最適化された実行速度 メモリ効率の良い処理 強力な機能セット テンプレート継承によるコード再利用 マクロによる関数定義機能 豊富な組み込みフィルターとファンクション 従来のPHPテンプレートと比較した際の革新的な特徴 従来のPHPテ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【2020年】CTF Web問題の攻撃手法まとめ - こんとろーるしーこんとろーるぶい
中身のない空の div 要素や空の span 要素は HTML 仕様として妥当なのか? - dskd
neue cc - .NET 6とAngleSharpによるC#でのスクレイピング技法
制作事例:Lottieのアニメーションを手描き風に動かしたい!SVGとWebGLを使った2つのアプローチ - ICS MEDIA
WebAssemblyとマルチスレッドによる環境に依存しない高速画像変換
悪名高きスクロール妨害広告を解析する - Qiita
Font with Built-In Syntax Highlighting
進化が止まらない!Next.js13の基本機能をしっかり理解しよう | アールエフェクト
Cloudflare functions with Scala.js
One Year with Next.js App Router — Why We're Moving On
【Vue+TypeScript】Composition APIでTypeScript入門 | アールエフェクト
aem1k - JS Hacks & Creativity
PHPエンジニア必見!Twigテンプレートエンジン完全ガイド2024