• Twitterでシェア
  • Facebookでシェア

XHR XSS の話. - ほむらちゃほむほむ

テクノロジー カテゴリーの変更を依頼 記事元:t-ashula.hateblo.jp
適切な情報に変更
121users がブックマーク コメント 12
    共有

    • 記事へのコメント12

    • 注目コメント
    • 新着コメント
    その他
    rryu
    XHRでURLが変わらないページ遷移を実装しつつlocation.hashでパーマリンクを作っている場合、何も考えていないとXHR2が有効なブラウザでは外部サイトまで遷移できてしまってスクリプトを実行されて死ぬという話

    その他
    raimon49
    任意のところと通信できるような設計にしないってのが肝だろうな。

    その他
    hasegawayosuke
    関係ないけど、「先頭が // でない」みたいなチェックは簡単にバイパスできるんで注意。 http://html5sec.org/#124 / 感想は https://twitter.com/#!/hasegawayosuke/status/180519562930954243

    その他
    s-ishigami
    任意の URL への XHR2 を安全に使うのは無理ゲーなのでやめる.

    その他
    teramako
    XMLHttpRequest level 2 のCross-Origin Resource Sharing に関する注意

    その他
    ryo_ryoo_ryooo
    外部から変更不可能なドメインを設定しなさいってことでいいのか。

    その他
    longroof
    (*´Д`)XHR XSS の話. - ほむらちゃほむほむ

    その他
    keyjam
    XHR XSS の話. - ほむらちゃほむほむ

    その他
    ShineSpark
    ほむらちゃほむほむ

    その他
    kkeisuke
    XMLHttpRequest

    その他
    efcl
    XHR2のクロスドメインリクエストで起こり得るXSSについて。 jQuery Mobile、Ajax的な書き換えなど。 same originの判定コード

    その他
    xKazan
    "任意の URL への XHR2 を安全に使うのは無理ゲーなのでやめる." その通りだと思う.主要な UA がCSPに対応すれば, connect-src 'self' で対処しましょう,という流れになるかも./ 本質的でない部分だけれど,"XHR ResponseTypeを docum

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    XHR XSS の話. - ほむらちゃほむほむ

    概要 CORS が「幾つかのブラウザの先行実装」の状況から「古いブラウザではサポートされない機能」に変...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.