令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io

2024/04/26 445 users CSRF API 実装 令和時代 対策

Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラッ... 続きを読む

RFC の URL はどのドメインで貼るのが良いか | blog.jxck.io

2024/03/27 153 users RFC doc www.rfc-editor.org 結論

Intro IETF の RFC は、いくつかの場所で同じものが公開されている。 どの URL が最適なのか、という話。 結論は www.rfc-editor.org だ。 RFC Hosting Site 例えば RFC 9110 - HTTP Semantics で言うと、以下の 4 つがある。 https://tools.ietf.org/html/rfc9110 https://datatracker.ietf.org/doc/html/rfc9110 https... 続きを読む

Apple によるブラウザエンジン規制の緩和 | blog.jxck.io

2024/01/28 201 users INTRO iOS Newsroom UNION 緩和

Intro 以前から騒がれていた Apple によるサイドローディング周りの緩和について、正式な情報公開があった。 Apple announces changes to iOS, Safari, and the App Store in the European Union - Apple https://www.apple.com/newsroom/2024/01/apple-announces-changes-to-ios-safari-and-the-app-store-in-the-europ... 続きを読む

なぜ HTML の form は PUT / DELETE をサポートしないのか? | blog.jxck.io

2023/11/27 261 users Put Delete Form entry 推測

Intro 10 年ほど前に同じことを調べたことがある。 なぜ html の form は PUT / DELETE をサポートしないのか? - Block Rockin' Codes https://jxck.hatenablog.com/entry/why-form-dosent-support-put-delete 当時は全くの素人で、素人なりに調査はしたが、ほとんどが推測の域を出ない結論だった。 この問題についてあ... 続きを読む

ブラウザでリロードしながらキャッシュの挙動を確認してる全ての開発者へ | blog.jxck.io

2023/11/05 939 users 挙動 キャッシュ ブラウザ 全て INTRO

Intro こういうタイトルを付けるのはあまり好きではないが、あえてこのようにした。 「ブラウザでキャッシュがヒットしない」 以下は、 Web における Caching の FAQ だ。 サーバで Cache-Control を付与したのにキャッシュがヒットしない サーバで ETag を付与したのに If-None-Match が送られない サーバで Last-Modif... 続きを読む

Cookie2 とは何か | blog.jxck.io

2023/08/19 154 users Set-Cookie 現行 キャッチ cookie 仕様

Intro タイトルを見て「Cookie の新しい仕様か、キャッチアップしよう」と思って開いたのなら、以降を読む必要はない。 Cookie History 2000 年に発行された Cookie の仕様である RFC 2965 では、仕様中に Set-Cookie2/Cookie2 (以下 Cookie2) という 2 つのヘッダが定義されている。しかし 2011 年に改定された現行の R... 続きを読む

Cookie Store API による document.cookie の改善 | blog.jxck.io

2023/06/18 108 users API 負債 HTML cookie 改善

Intro JS から Cookie を操作する document.cookie の改善を目的とした Cookie Store API についてまとめる。 document.cookie document.cookie は、ブラウザの API における代表的な技術的負債の一つと言える。 HTML Standard https://html.spec.whatwg.org/multipage/dom.html#dom-document-cookie 基本的な使い方は以... 続きを読む

OpenAI API を用いた文書校正(誤字脱字検出) | blog.jxck.io

2023/03/23 276 users OpenAI API vscode 助詞 API 文章校正

Intro OpenAI の API を用いて、長年の課題だった文書校正を VSCode 上で実現するプラグインを修作したところ、思った以上の成果だった。 文章校正と誤字脱字検出 執筆を補助するツールは多々開発されているが、基本は形態素解析を用いた品詞分析の延長で行うものが多かった。 よくある「助詞の連続」、「漢字の開き閉じ... 続きを読む

次世代 CSS 仕様が与えるコンポーネント時代の Web への影響 | blog.jxck.io

2023/01/07 167 users CSS 仕様 web テンプレートエンジン 次世代

Intro SPA の隆盛で進化したフロントエンドライブラリによって生み出された「コンポーネント」という資産は、それを View 層の最小単位として扱うエコシステムにその重心をずらした。 近年の Web 開発は、虫食いのテンプレートエンジンにデータをはめ込む方式から、デザインシステムにカタログされたコンポーネント群に... 続きを読む

XMLHttpRequest とはなんだったのか | blog.jxck.io

2022/10/01 655 users XMLHttpRequest 功績 リタイア 実装 名前

Intro Fetch API の実装が広まり、 IE もリタイアを迎えたことで、今後忘れ去られていくことになるだろう XMLHttpRequest について。 どのように始まり、どのように広まり、どのように使われなくなっていくのか。その間に残した多大な功績を残す。 XMLHttpRequest の始まり この名前は非常に長いため、通常 XHR と略され... 続きを読む

HTTP 関連 RFC が大量に出た話と 3 行まとめ | blog.jxck.io

2022/06/15 552 users RFC http HTTP Semantics 策定作業 関連

Intro 2022/06/06 ~ 9 あたりに、長きに渡って策定作業が行われていた HTTP 関連の RFC が大量に公開された。 RFC 9110: HTTP Semantics RFC 9111: HTTP Caching RFC 9112: HTTP/1.1 RFC 9113: HTTP/2 RFC 9114: HTTP/3 RFC 9163: Expect-CT Extension for HTTP RFC 9204: QPACK: Field Compression for HTTP/3 RFC 9205... 続きを読む

Navigation API による「JS での画面遷移」と SPA の改善 | blog.jxck.io

2022/04/21 226 users SPA 画面遷移 ミッシングピース 改善 MPA

Intro 従来の History API を改善する Navigation API の仕様策定と実装が進んでいる。 これは、 History API の使いにくかった部分を補うだけではなく、「JS で画面遷移をする」という現状のミッシングピースに取り組み、 SPA が抱える多くの問題だけでなく、 MPA すら改善する可能性のある API だ。 この API の目的と... 続きを読む

Private Relay と IP Blindness による Fingerprint 対策 | blog.jxck.io

2021/09/22 226 users ベータ 挙動 背景 インターネット 問題

Intro iOS15 がリリースされたため、 Private Relay のベータを試すことができた。 このようなサービスが提供されるようになった背景を踏まえ、挙動を簡単に確認しつつ、解説する。 背景 そもそも、なぜこのようなサービスが出てきたのかを理解するには、現在のインターネットが抱える問題の背景を理解する必要がある。 ... 続きを読む

mouseover 中に表示される DOM のデバッグ | blog.jxck.io

2021/08/20 144 users DOM INTRO デバッグ GitHub 後輩

Intro 先日、後輩が「mouseover 中にしか表示されない DOM のデバッグ」に手こずっていたのを見て、たまには小ネタもということで、いくつかのテクニックを紹介する。 実際には、発生しているイベントを制御するというテクニックなので、応用すると色々使えるだろう。 mouseover tooltip 対象として、 Github のユーザア... 続きを読む

本サイトの AMP 提供の停止とここまでの振り返り | blog.jxck.io

2021/06/26 338 users AMP SxG 停止 INTRO 奇遇

Intro 前回の記事で、奇遇にも本サイトの AMP 対応を落とすことになった。しかし、そうでなくても AMP をどこかでやめることは考えていたため、きっかけの一つが SXG 対応になったのは、順当な流れだと筆者は感じている。 これは AMP がなぜ始まり、なぜトーンダウンしつつあるのか、そしてこれからどうなっていくのか、... 続きを読む

Public Suffix List の用途と今起こっている問題について | blog.jxck.io

2021/04/20 579 users 用途 GitHub 問題 少数 プラットフォーム

Intro Public Suffix List (PSL) は、現在の Web プラットフォームの一旦を支えている非常に重要な要素だ。 実はこれが、少数のボランティアにより GitHub でメンテナンスされた、単なるテキストリストであることは、あまり知られてないかもしれない。 最近、このリストへの追加リクエストがあとを絶たず、問題になって... 続きを読む

Web 技術の調査方法 | blog.jxck.io

2020/11/18 763 users web 技術 調査方法

Intro 「新しい API などを、どうやって調べているのか」「仕様などを調べる際に、どこから手をつければ良いのか」などといった質問をもらうことがある。 確かにどこかに明文化されていると言うよりは、普段からやっててある程度慣れてきているだけなものであり、自分としても明文化していなかったため、これを機に解説... 続きを読む

ローカル開発環境の https 化 | blog.jxck.io

2020/06/29 1118 users https localhost ローカル開発環境 API 前提

Intro Web の https 化が進み、それに伴って https を前提とする API も増えてきた。 そうした API を用いた開発をローカルで行う場合、 localhost という特別なホストを用いることもできるが、それだけでは間に合わないケースも少なからずある。 localhost を https にするという方法もあるが、そのように紹介されてい... 続きを読む

牧歌的 Cookie の終焉 | blog.jxck.io

2020/02/26 1416 users 終焉 cookie

Intro Cookie は、ブラウザに一度保存すれば、次からその値を自動的に送ってくるという、非常に都合の良い仕様から始まった。 State Less が基本だった Web にセッションの概念をもたらし、今ではこれが無ければ実現できないユースケースの方が多い。 冷静に考えればふざけてるとして思えないヘッダ名からもわかるように... 続きを読む

Web における技術の解釈とエコシステムによる合意形成プロセスについて | blog.jxck.io

2019/04/26 127 users 解釈 エコシステム INTRO 技術 デプロイ

created_at: 2019-04-26 updated_at: 2019-04-26 tags: [ping,ecosystem,web] Intro 「ユーザが意図する挙動」とは何か。技術的に可能であるが「やらない方が良いこと」は、誰がどう決めるのか。 Web には仕様、実装、デプロイ、そしてユーザの利用とフィードバックによって、そうした合意がゆるやかに形成されていく仕... 続きを読む

Private Class Field の導入に伴う JS の構文拡張 | blog.jxck.io

2019/03/14 175 users class 構文 挙動 created_at 導入

created_at: 2019-03-14 updated_at: 2019-03-14 tags: [private,javascript] Intro ECMAScript の Private Class Field の仕様策定と各ブラウザの実装が進んでいる。 これにより、従来の JS にはなかった Class の Private フィールドが使えるようになる。 提案されている構文や、挙動について解説する。 Class Field D... 続きを読む

安全な文字列であると型で検証する Trusted Types について | blog.jxck.io

2019/01/27 128 users 文字列

created_at: 2019-01-27 updated_at: 2019-01-27 tags: [xss,trusted types,security] Intro 脆弱性の原因となる DOM 操作の代表例として elem.innerHTML や location.href などが既に知られている。 こうした操作対象(sink) に対して、文字列ベースの代入処理を行う際に、一律して検証をかけることができれば、脆弱性の... 続きを読む

次世代 Web カンファレンス 2019 開催告知 | blog.jxck.io

2018/09/15 222 users created_at 後援 開催告知 Web カンファレンス

created_at: 2018-09-15 updated_at: 2018-09-15 tags: [next-web-conf,web] Intro 2019/1/13(日) に、「次世代 Web カンファレンス」を開催します。 名称: 次世代 Web カンファレンス 日時: 2019/1/13(日) 9:00-17:30 場所: 法政大学富士見ゲート 4F 401, 402, 403 後援: 法政大学情報科学部 参加費: 無料 ハッシュタグ... 続きを読む

Bookmarklet という一番身近な自動化技術 | blog.jxck.io

2018/01/15 612 users Bookmarklet INTRO bookmark 後輩

Intro 「毎回やるなら bookmarklet にでもすれば?」と言ったら、後輩が「そんな便利なことできたんですね、知りませんでした」と言ってた。 そんな時代にこそ、今更だれも解説しないであろう、 bookmarklet という技術についてもう一度書いておく。 Bookmarklet 簡単に言えば、 JS を書き、それを Bookmark として登録すれば、クリックするだけで現在のページでそれ... 続きを読む

予約済みドメイン (.example, .localhost, .test) について | blog.jxck.io

2017/09/26 273 users example localhost ｇＴＬＤ test dev

created_at: 2017-09-27 updated_at: 2017-09-26 tags: [ dns , domain ] Intro 特別なドメインとして予約され、特定の用途で使用可能なドメインとして、 .example .localhost .test などがある。 localhost の Draft や、 gTLD である .dev が Chrome で Preload HST... 続きを読む