タグ scriptタグ
人気順 5 users 50 users 100 users 500 users 1000 users私がscriptタグについて知っていること全て : 知られていない属性や実行順序など | プログラミング | POSTD
私がscriptタグについて知っていることについて書いていきます。scriptタグの実行順序、async・defer・integrity属性、もうすでにご存じだとは思いますが、scriptタグはWebページで実行されるJavaScriptを特定するために使用されます。scriptタグはJavaScriptを直接含むことも、スクリプトがロードされるべきURLを指すこともできます。 scriptタグは... 続きを読む
PHPでCSP(Content Security Policy)を導入してXSS対策を強化してみよう — A Day in Serenity (Reloaded) — PHP, FuelPHP, Linux or something
PHPで簡単にCSPを導入するためのライブラリを作成してみました。 kenjis/csp https://github.com/kenjis/php-csp-nonce-source 既存サイトへの影響を最小限にしてCSPが導入できることを目的としています。 基本的にCSP nonce-sourceを使い、nonceのないscriptタグは実行しないようにすることでXSS対策を強化します。 このラ... 続きを読む
テンプレートエンジンでJavaScriptを動的生成する際のアンチパターン - 金利0無利息キャッシング – キャッシングできます - subtech
素のJSONをscriptタグ内に埋め込む 任意の文字列を突っ込める場合には {"key": "</script>"} でscriptタグを強制終了できてしまうからです。 JSONとしては正しいですがHTMLに埋め込む際には、それだけではダメなのです。文字列中に U+2028, U+2029が出現する場合もエラーになります。 http://timelessrepo.com/json-isnt-a-... 続きを読む
はてな記法モードで改行の自動挿入を見直し、付加すべきない箇所ではbr要素を挿入しないようにしました - はてなブログ開発ブログ
2013-09-25 はてな記法モードで改行の自動挿入を見直し、付加すべきない箇所ではbr要素を挿入しないようにしました 機能変更 本日、はてなブログで「はてな記法」モードを利用している場合、改行(br要素)を自動挿入する挙動を変更し、tableタグやscriptタグ、styleタグなどHTMLのブロック要素を直接記述している場合に、本来ならbr要素を付加すべきではない箇所では、br要素を挿入しな... 続きを読む
いい加減、<script src="http://.. と書くのはやめましょう - DQNEO起業日記
JSファイルを読み込むときに、こういう書き方するのはやめましょう。 <script src="http://example.com/js/jquery.js"></script> 理由 あなたのサイトが、いつの日かSSLに対応することになったとき、そのscriptタグがバグの原因になります。 ご覧のとおり、HTTPSページの中でHTTP要素を読み込もうとすると、ブラウザによっては安全装置が働いて読... 続きを読む
はてなブログにFacebookコメントを表示する - chris4403's blog
以下のscriptタグをエントリごとにHTML編集で貼り付けるとFacebookコメントが表示されます。 <script type="text/javascript" src="https://raw.github.com/gist/1450720/hatenablod-fbcomment.js"></script> scriptの中身はこんな感じ↓。 続きを読む
外部JSをベースに速攻でブックマークレットを作成できる「Boo.kmarked」:phpspot開発日誌
Boo.kmarked | The Free Bookmarklet Maker 外部JSをベースに速攻でブックマークレットを作成できる「Boo.kmarked」。 このツールを使えば、githubなどで公開されているJSファイルをすぐにBookmarkletに変換することができるようです。 単純に scriptタグをcreateElementしてAppendしているだけのようですが、1から書こう... 続きを読む
snippets from shinichitomita’s journal - クロスドメインでのデータ読み込みを防止するJavaScript ?
GMailのコンタクトリスト漏洩のエントリのついでに。JSONデータをscriptタグにのせて配信するサービス(JSONPなど)で、限られたサイトのみにしかそのデータを配信しないようにするためには、クライアントが送出してくるリファラ情報を使ってサービスコンシューマとなっているサイトを特定してアクセス制御する方法がある。この方法はおそらく大部分のクライアント(ブラウザ)に対しては有効で、例えば実際に... 続きを読む