XSSを回避しつつ、テンプレートからJavaScriptにJSONで値を渡す方法 - blog.nomadscafe.jp
「HTMLのscriptタグ内にデータを埋め込む際のエスケープ処理モジュール書いた」に引き続いて、XSSを避けつつ複数の値をJSONで渡す方法。 答えはmalaさんが書いてます テンプレートエンジンでJSONを生成する(多くの場合間違えるので、推奨しない) scriptタグの中でJSONを使わない 可能であればJSONライブラリのオプションで<>/いずれかをエスケープする。 生成されたJSON文字列の<>/いずれかを正規表現などを使って置換する。 JSONのvalueに当たる部分には「HTMLエスケープ済みの文字列を入れる」という規約を設けて事前にエスケープする。 の3番目以降。 ということで実装してみる。目標としてはXslateのfilterとして実装 [% hashref | json %] の様な形をとり、JSONのvalueにあたる部分はすべてHTML Escapeし、HTML中に
JSONデータをクロスドメインアタックから守るためにwhile(1)を使うことをやめましょう - hoshikuzu | star_dust の書斎
これはなに 既にご存知の方がいらっしゃるかどうかも知りませんが今さっき関連文献に行き当たって驚愕したので念のためにメモを書いておきます。私はメーリングリストなどに加入していませんので論議が済んでいるかどうかも知らないのです。もしもウェブ上に解説記事があるようでしたら逆に私に是非とも教えてください。 JSONデータの先頭に JSONデータの先頭にwhile(1)を置いておくことで無限ループを発生させておいて、受動的攻撃のページの悪意あるscriptの実行を失敗させるというアイデアには欠点があるということを、先程とある文献から知りました。これはwhile(true)についても同様です。JavaScriptは柔軟で強力な言語ですから、ブラウザがJavaScriptエンジンをまじめに実装しているのであれば、アタックのチャンスを与えていることになります。しかしこれはブラウザの脆弱性とは捉えられません
Photoshopを本気で使い倒せば画像はここまでイジくれるという10個の例
撮影した画像にPhotoshopなどを使用して加工を施すという人は少なくないと思われますが、Photoshopを本気で使い倒せば元の画像からかなりかけ離れた画像を作り出すことも可能です。 k6Lck.jpg (JPEG 画像, 460x3678 px) - 表示倍率 (16%) 1: 黒いドレスを着た美女が、かなり未来っぽいサイバーな女子に。 2: 「自分で自分を彫っている彫刻」に生まれ変わった、野性的な水着を着た女性。 3: 露出度の高い水着を着た女性が、対戦格闘ゲーム「鉄拳」に登場するジュリア・チャンのようなネイティブ・アメリカンスタイルに。 4: 女性の背後から男性が手を絡ませている妖艶な写真も、加工後には一気に絵画っぽい雰囲気になりました。 5: ファッションモデル風の写真が、漫画「銃夢」に出てきそうなサイボーグボディへとチェンジ。 6: 何やらゴージャスな胸像へと生まれ変わったノ
今こそ見直すApacheの設定 - blog.nomadscafe.jp
nginxやvarnishなどがアツいですが、Apacheもまだまだ実績や安定性から採用されていると思います。ここではデフォルトとは異なる値に変更するサーバ設定を中心に、パフォーマンス改善、安全性向上のためのApacheの設定を紹介します。 mpmの確認 > /path/to/bin/httpd -V Server version: Apache/2.2.19 (Unix) Server built: Jun 23 2011 17:13:13 Server's Module Magic Number: 20051115:28 Server loaded: APR 1.4.5, APR-Util 1.3.12 Compiled using: APR 1.4.5, APR-Util 1.3.12 Architecture: 64-bit Server MPM: Worker PreforkやW
レビューを書けば送料当店負担 3Dロックストーンボードプレートデコレーション爬虫類水族館水槽の背景水槽や水族館用
3Dロックストーンボードプレートデコレーション爬虫類水族館水槽の背景水槽や水族館用,smallworld.west-tokyo.com,ペット用品 , 熱帯魚・観賞魚 , 水槽・アクアリウム,6129円,/blog/2011/02/php-study-1.html レビューを書けば送料当店負担 3Dロックストーンボードプレートデコレーション爬虫類水族館水槽の背景水槽や水族館用 3Dロックストーンボードプレートデコレーション爬虫類水族館水槽の背景水槽や水族館用,smallworld.west-tokyo.com,ペット用品 , 熱帯魚・観賞魚 , 水槽・アクアリウム,6129円,/blog/2011/02/php-study-1.html 6129円 3Dロックストーンボードプレートデコレーション爬虫類水族館水槽の背景水槽や水族館用 ペット用品 熱帯魚・観賞魚 水槽・アクアリウム 6129円
PEAR::Authでユーザー認証 « できるWEBサイトにする為に何が出来るのか
PEAR::Authでユーザー認証 (1件の投稿) (1件の返信) admin が2週前に開始しました。 PEAR:Authはフォームから入力されたユーザーIDとパスワードをストレージコンテナ(DBなどから)に保存されたユーザーIDとパスワードを比較して認証を行います。 PEAR::Authをインストール PEAR:Authのインストールのやり方はいつものです。 #pear install Auth DBMSを利用しての認証 PEAR:Authで認証を行うにはAuthクラスをインスタンス化する必要があります。 Authクラスは第1引数にストレージコンテナを ( 今回はMDB2を利用します ) 、第2引数にはデータベースの情報を指定します。 データベースの情報は連想配列で指定します。 今回はMDB2を利用するので、MDB2に接続するときと同じものを使用してみます。 DBの準備 MySQL
私はいかにしてソフトバンク端末60機種のJavaScriptを検証したか - ockeghem's blog
昨日のソフトバンクの非公式JavaScript対応の調査結果 | 徳丸浩の日記で報告したように、昨年5月に、ソフトバンク60機種の検証を行い、JavaScript対応の状況などを調査しました。当時はまだ公式なJavaScript対応機種はない状態でしたが、既にほとんどの端末が *非公式に* JavaScriptに対応していました。 このエントリでは、検証の様子を報告します。 なぜJavaScript対応状況を調査したか http://www.hash-c.co.jp/info/20091124.htmlを公表した前後に、とある方(この方)から、ソフトバンクのケータイでもJavaScriptが動作すると伺いました(参考のやりとり)。XMLHttpRequestも含めてJavaScrptが動くと教えていただいた932SHを私も購入して調べたところ、以下が判明しました。 確かにJavaScrip
海外在住Web屋の私のまわりで最近話題の5つのWebサービス
2013年3月23日 Web関連記事, 便利ツール Web業界では次々に新しいサービスが開発され、それをあーだこーだと言い合うのがWeb屋の楽しみってもんです。現在私が住んでいるバンクーバーでも同様、Webサービスの話に花が咲きます。その中でサービス自体は前々からありますが、最近よく話題にでるなーというものを中心に紹介していきます!日本で何かWebサービスを作ろうとしている方のアイデアの種になるかも? ↑私が10年以上利用している会計ソフト! 1. Fiverr Fiverrは5ドルで誰かにサービスや商品を提供できるサイトです。誰でも簡単にアカウントを作成でき、5ドルで売りたいもの・5ドルで買いたい物を投稿できます。5ドルのうち1ドルがFiverrの収益になります。支払いはPaypalかクレジットカード。英語のみですが、同じ英語圏でも通貨の価値に差のある国では5ドルでもいい収入になるようで
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Macの起動ディスクをフル(バックアップ|リストア)する最も簡単な方法 : 404 Blog Not Found
2011年07月05日14:30 カテゴリTipsiTech Macの起動ディスクをフル(バックアップ|リストア)する最も簡単な方法 そのとおり。 ASCII.jp:OS X Lion移行計画(前編)〜不要なファイルを“断捨離”〜 1GBあたりの単価が10円を下回るHDDも珍しくない現在、OSのアップグレードや新規インストールのようなデータ消滅の危険性を伴う処理には、新規購入したHDDを使用したほうがいい。2.5インチの内蔵型(バルク品)なら容量500GBの製品が5000円程度から販売されているため、データ消滅の危険を回避できると考えれば安いもの だが具体的にはどうすればいいか? 結論から言うと、 USBバスパワー駆動の外付け2.5インチHDDを用意し、 そこに Mac OS X をインストールして起動可能にした上で、 (内蔵)起動ディスクを外付けHDD上の sparse bundle i
暴言と知性について - 内田樹の研究室
松本復興相が知事たちに対する「暴言」で、就任後わずかで大臣を辞任することになった。 この発言をめぐる報道やネット上の発言を徴して、すこし思うことがあるので、それについて書きたいと思う。 松本大臣が知事に対して言ったことは、そのコンテンツだけをみるなら、ご本人も言い募っていたように「問題はなかった」もののように思われる。 Youtube で見ると、彼は復興事業は地方自治体の自助努力が必要であり、それを怠ってはならないということを述べ、しかるのちに「来客を迎えるときの一般的儀礼」について述べた。 仮に日本語を解さない人々がテロップに訳文だけ出た画面を見たら、「どうして、この発言で、大臣が辞任しなければならないのか、よくわからない」という印象を抱いたであろう。 傲慢さが尋常でなかったから、その点には気づいたかもしれないが、「態度が大きい」ということは別に政治家が公務を辞職しなければならないような
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
