Spectre の脅威とウェブサイトが設定すべきヘッダーについて

2021/11/01 499 users SPECTRE ヘッダー リソース 脅威 ドキュメント

長い記事なので先に結論を書きます。 Spectre の登場で、ウェブサイトに必要とされるセキュリティ要件は増えました。具体的に必要な対策は下記の通りです。 すべてのリソースは Cross-Origin-Resource-Policy ヘッダーを使って cross-origin なドキュメントへの読み込みを制御する。 HTML ドキュメントには X-Frame-Opti... 続きを読む

same-site/cross-site, same-origin/cross-originをちゃんと理解する

2021/03/29 251 users hostname Scheme ORIGIN PORT 誤解

same-site/cross-site, same-origin/cross-origin の違いを曖昧なままにしておくと、分からないことや誤解がモリモリ増えていきますので、早いうちに定義を覚えちゃいましょう。 元記事はこちら: Origin とは Origin は scheme (http とか　https とか)、hostname、port の組み合わせを指す。same-origin と言った場合、... 続きを読む

Replica - terminalのreplからブラウザ上のJavaScriptを実行する - 愛と勇気と缶ビール

2011/03/21 15 users Push node repl Ruby Replica

JavaScript, Ruby, node.js マクラこのまえ会社でちょっと特殊なJavaScript replを作ったのだけど、もうちょっと汎用的なものを作ってみたかったのでNodeで書いたっていうお話。Nodeで書くこと自体にあまり深い意味はないんですが、Socket.IO使えばcross-browser/cross-originでのpushが簡単だから、ということで。 InstallRe... 続きを読む