ssig33.com - 最近見つけた意外な XSS
ほぼ出オチに近いんですが。 これで発動する XSS を実際に見かけました。 iOS アプリと Web アプリが両方あるアプリである Web アプリがわにアカウントにひもづいているデバイスを一覧できる画面や投稿元デバイス名が表示される画面がある そこでデバイス名がエスケープされてない という事例です。一昔前は Rails や CakePHP やらがテンプレートエンジンで普通に HTML を出力すればエスケープしてくれたものですがが、最近は JavaScript で HTML を構築することが多く、手動でエスケープするような暗黒時代に戻ってしまっている感があります。 「たいていのところはちゃんとエスケープしてあるけど、↑のような意外なところが抜けてたりする事例があります。 iOS のデバイス名由来のものについては簡単に調べた結果 3 件ほど XSS を見かけたので、それについては報告はしておき
Webサイト制作やアプリ開発で使える天気予報APIのまとめ
日本気象協会が提供するRSS。取得できる情報にいろんなものがあって面白いが、天気データというよりかは、RSSリーダーに登録して使うフィード的な意味が強い。ここにも書いてあるが二次的に利用できるかどうかは、サイトの運営形態で決まるらしい。 商用利用できるかどうか(参考URL) ・個人運営、営利目的なし → ○ ・個人運営、営利目的(広告モデル) → ○ ・個人運営、営利目的(課金モデル) → ○ ・法人運営 → × 取得できる情報 ・地震情報(1) ・津波情報(1) ・火山情報(109火山) ・警報・注意報(県別) ・アメダスランキング(県別) ・アメダス実況(気温、降水量、風向・風速、日照時間、積雪深)(1282地域) ・天気予報(今日・週間 - 142地域) ・まもなく天気がくずれる予想地域(10地域) 4. Yahoo!天気・災害 RSS (無料、商用×)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
