クロスサイトスクリプティング(XSS)とCSRFの違い早分かり - ockeghem(徳丸浩)の日記
昨日の日記で、DK祭りで使われている脆弱性がXSSかCSRFかという問題になった。どうも、XSSとCSRFがごっちゃになっている人もいるように見受けるので、簡単な整理を試みたい。 XSSとCSRFには似た点がある。 どちらも「クロスサイト」という言葉が先頭につく なりすましのようなことが結果としてできる どちらも受動型攻撃である それに対して、もちろん違う点もある。専門家から見れば「似てるも何も、そもそも全然違うものですよ」となるのだろうが、現に混同している人がいるのだから紛らわしい点もあるのだろう。 私思うに、XSSとCSRFの決定的な違いは、以下の点ではないだろうか。 XSSは攻撃スクリプトがブラウザ上で動くが、CSRFはサーバー上で動く このため、XSSでできる悪いことは、すなわちJavaScriptでできることであって、攻撃対象のCookieを盗み出すことが典型例となる。一方、CS
marquee - hitode909の日記
marqueeタグ,最近人気ないけど,かわいいので,使っていきたい.今日の日記もmarqueeにすることにした.あなたの意図に反してこの文字が流れていたら私の意図通りこの文字が流れていると言える.フィードリーダーとかではmarquee出せない気がするので,わざわざ元のページ開いて見てほしい.現実世界には,あまり流れる文字ない気がするけど,巻物とかがんばって巻くとmarqueeになる.本はmarqueeじゃなくて,Page Downという感じだから,あまりもう紙では見ることない気がする.身近なmarqueeとしては,新幹線とか乗るとmarquee見れる.自分が新幹線作ることを考えると,乗客にmarqueeを見せ続けて便利というのは不気味だから,新幹線考えた人は偉い.普通は乗客にmarquee見せようと思わないと思う.あと京都駅の駅前に防災情報みたいな電光掲示板が設置されてて,そこでmarqu
DOMスクリプティング this.document とdocumentの違い – とろテク
javascriptのDOMスクリプティングにて、「this」を使うケースとして、イベントリスナー内の処理があります。 下記の例で、thisを省いてしまうとobj1とobj2の内容が同じになってしまいます。 //ウインドウ1の処理 var obj1 = document.getElementsByTagName('input'); var winsub= window.open(openURL, "", ""); //ロード後イベントリスナーに処理を追加 winsub.addEventListener('load', function () { //ウインドウ2の処理 var obj2 = this.document.getElementsByTagName('input'); //end of event function winsub load },true);
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
