はてなスターのひみつ - Hatena Developer Blog

2022/12/07 160 users Hatena Developer Blog はてなスター

ハッピーホリデー！id:cockscombです。この記事ははてなエンジニアAdvent Calendarの8日目のエントリです。 今年1月、はてなスターのリニューアルを行いました。リニューアルの内容は告知をご参照ください。 はてなスターのリニューアルでは、クロスオリジンの問題を解決するために特別な実装をしています。今回は、ホリ... 続きを読む

CORSの仕組みをGIFアニメで分かりやすく解説 | コリス

2020/08/20 326 users Cors コリス ライセンス リソース共有 GIFアニメ

クロスオリジンのリクエストを安全にするための同一生成元ポリシーとオリジン間のリソース共有（CORS）の仕組みをGIFアニメで解説した記事を紹介します。 ✋?? CS Visualized: CORS by Lydia Hallie 下記は各ポイントを意訳したものです。 ※当ブログでの翻訳記事は、元サイト様にライセンスを得て翻訳しています。 は... 続きを読む

CSSの機能を使用してクロスオリジンのiframeから表示内容を読み取るサイドチャネル攻撃 | スラド

2018/06/03 45 users SlashGear スラド mix-blend-mode

CSSの「 mix-blend-mode 」プロパティを使い、クロスオリジンのiframeに表示されている内容を読み取ることが可能なサイドチャネル攻撃について、発見者の一人が解説している( Evonideの記事 、 Ars Technicaの記事 、 SlashGearの記事 )。 Webページがクロスオリジンのiframe内のDOM要素にアクセスすることはデフォルトで禁じられているが、ifram... 続きを読む

Foreign Fetch による Micro Service Workers | blog.jxck.io

2016/12/12 27 users jxck.io fetch created_at 対象 機能

created_at: 2016-12-12 updated_at: 2016-12-12 tags: [ fetch , service worker , origin trials ] Intro Service Worker に Foreign Fetch という機能が提案されている。 この機能があるとクロスオリジンへの fetch をフックできる Service Worker を、その対象... 続きを読む

Masato Kinugawa Security Blog: connection.swf + XSS によるクロスオリジンの情報奪取

2015/05/05 27 users XSS サイボウズ Flash 実例 手法

2015/05/05 connection.swf + XSS によるクロスオリジンの情報奪取 Flashを使った、ちょっと変わった情報奪取手法を紹介します。 この手法、以前から条件によっては攻撃が可能になる場合があるだろうと想像していたんですが、なかなか実例にぶつからず、2013年に開催されたサイボウズの脆弱性発見コンテスト「cybozu.com Security Challenge」で初めて本... 続きを読む

クロスオリジンなXMLHttpRequest2(XHR2)と独自ヘッダの落とし穴? | ありえるえりあ

2011/05/09 72 users ヘッダ 落とし穴 XHR2 敬意 エリア

JavaScriptのクロスドメイン通信で微妙な話があったので書いてみます。ちなみにクライアントサイドJavaScriptの話です。下記仕様に敬意を表して以下ではクロスオリジンと書きます。一般にクロスドメイン通信と呼ばれているものと同じ意味で使います。 Cross-Origin Resource Sharing XMLHttpRequest2(XHR2) WebブラウザからXMLHttpReque... 続きを読む