サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
Summary This ensuresHTML wrapped in TrustedHTML can be used as an input to jQuery manipulation methods in a way that doesn't violate the require-trusted-types-for ContentSecurity Policy directive. This commitbuilds on previous work needed for trusted types support, including gh-4642 and gh-4724. One restriction is that while any TrustedHTML wrapper should work as input for jQuery methods like .
English version is here: https://mksben.l0.cm/2020/05/jquery3.5.0-xss.html 先月、jQuery 3.5.0がリリースされました。 このバージョンでは、僕が報告した問題がSecurity Fixとして含まれています。 jQuery 3.5.0 Released! | Official jQueryBlog https://blog.jquery.com/2020/04/10/jquery-3-5-0-released/ 報告したバグは、CVE-2020-11022、CVE-2020-11023 として採番されています。 https://github.com/advisories/GHSA-gxr4-xjj5-5px2 https://github.com/advisories/GHSA-jpcq-cgw6-v4j6
.each()の話 jQueryの.each()を使うと,JavaScriptのオブジェクトか配列を対象にした繰り返しを簡単に記述できる.*1 var list = [0,1,1,2,3,5,8,13]; $.each(list, function(index, elem){ console.log(elem * 2); }); // 0 VM2035:4 // 2 VM2035:4 // 2 VM2035:4 // 4 VM2035:4 // 6 VM2035:4 // 10 VM2035:4 // 16 VM2035:4 // 26 VM2035:4 で,このeachにはもう一つ書き方がある. var list = [0,1,1,2,3,5,8,13]; $.each(list, function(){ // さっきは引数にindex, elemを指定していた console.log(
いくつかのサイトで実際に遭遇してますが,jQueyr 1.6.3 で解決( jQuery Bug #9521 )したはずの $("a[href=" + hash + "]") タイプの XSS が ( 2013/11/18 現在 1.2.1 を含む全ての) jQuery Migrate Plugin で復活します. jQuery 1.6.3 のみの場合 jQuery 1.10.2 と Migrate Plugin 1.2.1 の場合 色々追ってみて,やっぱりまだ動くけどと言ったら,8月にすでに,実際バグだけどこれで想定通りなんだと言われてた(He told me that this was not, in fact, a bug, but was working as intended.) のでそういうことだったみたいです. jQuery本体側の変遷 jQuery の $() には複数の
The latest version 1.2 of the jQuery Migrate plugin is here!It can be used with either jQuery 1.9 or jQuery 2.0 to provide diagnostics and remedial help for plugins that haven’t been updated since jQuery 1.9 was releasedearlier this year. Believe me, this plugin can really make your life easier; if you’ve been afraid of upgrading jQuery, this plugin can cure that irrational software phobia. The
or How "jQuery Migrate" un-fixes anasty DOMXSS without telling us.. Foreword Today Mario Heiderich of Cure53 tweeted the following message: "@0x6D6172696F Does anyone know why jquery.com has a special jQuery 1.9.1 version that is still vulnerable to $(location.hash)?" What happened after that message might be considered to be the discovery of a rather interesting bug - which Mario and me will try
まえがき 2013/01/15 に jQuery 1.9 と 2.0 ベータがリリースされて,サポートブラウザがどうとか互換性がどうとかいうお話がちらほら出る中,jQuery 1.6.3 から続く jQuery('セレクタだと思ったら要素生成でこんにちはこんにちは') 問題 への対応に一応の終止符が打たれたのでいろいろ書いてみる. ver 1.6.2 以前 jQuery の 1.6.2 までは $(String) としたとき,「String になんか(HTML の)タグが入ってるっぽいぞ」と判断すると要素を生成し,そうじゃなければCSS 的なセレクタとして振る舞うという機能がありました. 大抵の場合,大きな問題はなかったのですけども,ユーザ入力からセレクタを組み立てるときに問題になりました. とくに '#' を含んだ文字列で ID セレクタとして振舞わせようとするのが典型的で,なかでも
(2012/9/25 最後に重要な追記があります。 ) jQuery Mobile 1.2 Betaがさきほどリリースされたようです。 タイトルの通り、それに満たないバージョンのjQuery Mobileには読み込んでいるだけでXSS脆弱性を作ってしまう問題があります。お使いの方はアップデートをお勧めします。 jQuery Mobile 1.2 Beta Released | jQuery Mobile http://jquerymobile.com/blog/2012/09/05/jquery-mobile-1-2-beta-released/ 以前の記事で触れた、一部のブラウザのlocation.hrefの挙動に絡むXSSが修正されています。 以下の件とは別の修正であることに注意してください。 jQuery MobileのXSSについての解説 - 金利0無利息キャッシング – キャッシ
jQuery 1.6.3 is almost ready to roll! We need your help with this release candidate to be sure we’vegot everything right. Feel free to do your testing by including either one of these files (one minified and one uncompressed). Our preferred venue for test cases isjsFiddle; you canjust use the “jQuery (edge)” selection there. If you need toreport a bug and cannot usejsFiddle, please use the un
Dalam dunia hiburan digital, SURGAVIP kembali menjadi sorotan setelah BroadcastingEmpire merilis ulasan eksklusif mengenai pola permainan dari salah satu providerterfavorit, yaitu Pragmatic. Penelusuran kali ini berfokus pada peluang kejutan jackpot maxwin yang sedang ramai diperbincangkan komunitas game online. BroadcastingEmpire menyoroti bagaimana konsistensi kemenangan dalam game pragmatis
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です -はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。はてなグループに投稿された日記データのエクスポートについて -はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記はてなグループ日記のエクスポートデータは2020年2月28
1リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
