サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
This post is also available in 简体中文, Français, Deutsch,Italiano, 日本語, 한국어, Português, Español (Latinoamérica), Español, Рyсский, Polski, Nederlands and 繁體中文. On 18 November 2025 at 11:20 UTC (all times in thisblog are UTC),Cloudflare'snetwork began experiencing significant failures to deliver corenetwork traffic. This showed up to Internet users trying to access our customers' sites as anerr
httpx をコネクションプールありで使う場合は client = httpx.Client() して client.get() などを使いますが、コネクションプールなしで使う場合は httpx.get() などを使います。 この httpx.get() のような単発でHTTPリクエストを実行するAPIは実際には内部で httpx.Client() のインスタンスを生成して破棄しています。実はこの Client() のインスタンス生成が遅いのです。 # x1.py from httpx import Client for _ in range(100): c = Client() $ hyperfine '.venv/bin/python x1.py' Benchmark 1: .venv/bin/python x1.py Time (mean ± σ): 1.484 s ± 0.018
はじめにcurl とは対話シェルやシェルスクリプトから HTTP 通信を行うのによく使われるコマンドです。あらゆる環境(100 種類の OS)で動作し、macOS やWindows には標準でインストールされています。商用サポートもあり、互換性は非常に重視され、何年経っても同じ書き方で動きます。非常に長く使われており(1998 年生まれの 27 歳1)、そして古い情報もたくさんあります。この記事ではそういった古い情報を、より簡単で新しいcurl コマンドの使い方にアップデートします。最初に結論を書いておくと、 もう -X POST -H "Content-Type: applicatoin/json" なんて書かなくていいですよ。 (記事を読まない人のためのリンク) この記事を書くにあたって以下の記事を参考にしています。この記事が書かれたのは 2015 年、現在はそれから 10 年後
We, developers, spend a lot of time in ourterminal. Or maybe we could spend even more, because there are so many great CLI/TUI tools that can boost the developer productivity, orjust be fun to use. This article contains a categorized list of CLIs / TUIs I personally use and those widely adopted in the development community. Our sponsorMultiplayer auto-discovers, tracks, and documents your entire
JWTって何? JWTはJSON Web Tokenの略です。 まずは完成されたJWTを見てみましょう。 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c この文字列がJWTです。 JWTの特徴を見てみる よく見ると、この文字列は 「.」(ドット) で区切られています。 JWTは次の3つのパーツから構成されています。 ヘッダ(Header) ペイロード(Payload) 署名(Signature) ただの文字列じゃない? JWTは単なる文字列ではありません。 実は、この「ヘッダ」や「ペイロード」をデコードすると、JSON形式のデータ
こんにちは、極予測やりとりAI というプロダクトの開発責任者をしている しゅん(@MxShun)です。 ある日、cURL は成功しGo HTTP リクエストは失敗する事象に遭遇しました。そのとき調査して分かった原因と仕様を共有します。 目次 事象の詳細 事象の原因 仕様1. HTTP/2 ではヘッダーは小文字のみ許容される 仕様2.Go HTTP/1.1 ではヘッダーは MIME 正規化される まとめ 事象の詳細 HTTP リクエストヘッダー X-Api-Key 値で認証するサーバと通信をしており、サーバのリアーキテクチャに伴う外部結合テスト中に当事象に遭遇しました。 まず疎通確認のためGo アプリケーションのコンテナ内からcURL でリクエストしてみたところ、200 OK が返ってきました。curl -v \ > -H 'X-Api-Key: xxx' \ > -d '...'
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
IETFに『Secure shell over HTTP/3 connections』という提案仕様が提出されています。 これは、HTTP/3コネクション上でSSHを実行するプロトコルを定義しています。なお、"SSH3"という名称を仕様中で使用していますが、あくまで提案段階ですので今後変わる可能性もあります。 SSH3ではHTTP/3を使うことにより以下の特徴を持ちます QUICのメリットが享受できる(例えばIPアドレスが変わってもコネクションを維持できる) HTTPの認証方式をサポートする(Basic認証、OAuth 2.0、Signature HTTP Authentication Scheme) SSH通信の秘匿 (第三者からするとただのHTTP通信にみえる) エンドポイントの秘匿 (Signature HTTP Authentication Schemeを使うことで、そこでサービス
これは、豆蔵デベロッパーサイトアドベントカレンダー2022第8日目の記事です。 JSON Web Token(JWT)の単語を目にすることがよくあると思いますが、それと一緒に認証と認可や、RSAの署名や暗号化、そしてOpenIDConnectやOAuth2.0までと難しそうな用語とセットで説明されることも多いため、JWTって難しいなぁと思われがちです。しかし、JWT自体はシンプルで分かりやすいものです。そこで今回は素のJWTの説明からJWS、そしてJWT(JWS)を使った認証を段階的に説明していきます。 おな、この記事はJWT全体の仕組みや使い方の理解を目的としているため、以下の説明は行いません。 RSAやHMACなど暗号化やアルゴリズムの細かい説明 JWTを暗号化するJWEとJSONの暗号鍵表現のJWKについて OpenIDConnectとOAuth2.0について 記事は上記のような内容
これははてなエンジニア Advent Calendar2023 の 18 日目の記事です。昨日は id:gurrium による private-isuで70万点取るためにやったこと - ぜのぜ でした。私は 50 万点ぐらいで満足してしまっていたので、しっかり詰めていて凄いなと思う。 developer.hatenastaff.com Web アプリケーション開発において、「キャッシュは麻薬」という言葉がインターネット上をよく飛び交っています。YAPC::Kansai OSAKA 2017 の id:moznion のトークでよく知られるようになったワードじゃないかな。 初出はちゃんとは分からないんですが、少なくとも 2011 年には言われていますね。 「キャッシュは麻薬」とはよく言ったものだ。— TOYAMA Nao (@nanto_vi) November 5, 2011 キャッシ
2023年10月16日、Ciscoは同社のネットワーク製品のOSとして搭載されているCisco IOS XEに未修正(当時)の脆弱性CVE-2023-20198 およびCVE-2023-20273 を悪用する活動が確認されたとしてセキュリティ情報を公開しました。CVE-2023-20198は権限昇格の脆弱性で、リモートから管理者に相当するアカウントを作成される恐れがあります。またその後の調査でさらに別の脆弱性CVE-2023-20273 が悪用されていることも判明しました。同社はCVE-2023-20198 を最大の深刻度であるCriticalと評価しており、脆弱性への対応を強く呼び掛けています。ここでは関連する情報をまとめます。 脆弱性CVE-2023-20198 /CVE-2023-20273 の概要 Cisco社の複数のネットワーク製品に搭載されているCisco IOS
English ver: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md TL;DR 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ,Email ライブラリ / Web Service 等} で脆弱性を見つけました。 見つけた脆弱性は、全て 1つの観点で発見した (多分 50-80 くらいのプロダクトの調査をした)。 RFC の記載では、(かなりわかりにくく)この問題に対する要件が記載されており、WHATWG >HTML Spec の方はしっかりと書かれているといった状況にある。 この問題は、 Content-Dispo
ハッピーホリデー!id:cockscombです。この記事ははてなエンジニアAdvent Calendarの8日目のエントリです。 今年1月、はてなスターのリニューアルを行いました。リニューアルの内容は告知をご参照ください。はてなスターのリニューアルでは、クロスオリジンの問題を解決するために特別な実装をしています。今回は、ホリデーシーズンをお祝いして、そのひみつを詳 (つまび)らかにします。はてなスターとクロスオリジンはてなスターは、はてなブログなどに埋め込んで利用されます。はてなブログはhatenablog.com やhatenadiary.jp などのサブドメインを利用しており、さらにはてなブログProでは独自のドメインを設定できます。はてなスターは複数の異なるドメイン名のサイトから利用される、ということです。 要するにはてなスターはクロスオリジンで利用されます。一方ではてな
What’s Hurl? Hurl is a commandline tool that runs HTTPrequests defined in asimple plaintext format.It can chainrequests, capture values and evaluate queries on headers and body response. Hurl is very versatile:it can be used for both fetching data and testing HTTPsessions. Hurl makesit easy to work withHTML content, REST / SOAP /GraphQLAPIs, or any other XML / JSON basedAPIs. #Go hom
このページはコミュニティーの尽力で英語から翻訳されました。MDN Web Docs コミュニティーについてもっと知り、仲間になるにはこちらから。 @�ꪪView in English � �ꪪAlwaysswitch to English コンテンツセキュリティポリシー (CSP) は、特定の種類のセキュリティ脅威のリスクを防止または最小限に抑えるのに役立つ機能です。これは、ウェブサイトからブラウザーへの一連の指示で構成されており、サイトを構成するコードが実行できることを制限するようにブラウザーに指示します。 CSP の主な用途は、文書が読み込むことを許可するリソース、特にJavaScript リソースを制御することです。これは主に、攻撃者が被害者のサイトに悪意のあるコードを注入するクロスサイトスクリプティング (XSS) 攻撃に対する防御として使用されます。 CSP には他にも、クリ
先日とらのあなラボ様の勉強会に参加していたところ「強いキャッシュ」「弱いキャッシュ」とキーワードが出てきました。 初めて聞く表現だったので質問したところやはり知らない定義だったため、少し調べてまとめてみたものです。 なお、強いキャッシュ・弱いキャッシュという説明を否定するものではなく、補完したいと考えています。 強いキャッシュ・弱いキャッシュの定義 ネット上を調べると日本語・中国語・英語で説明が出てきますが、調べた限りでは強いキャッシュ・弱いキャッシュの初出はWebフロントエンド ハイパフォーマンスで、定義は以下の通りです。 ExpiresヘッダーとCache-Controlヘッダーでは強いキャッシュを設定できます。 ETagヘッダーとLast-Modifiedヘッダーでは弱いキャッシュを設定できます。 Webフロントエンド ハイパフォーマンス p124 こちらの文書の前後に詳しい定義があ
最近めっきりDenoに触ってない。一言で言うと飽きてしまった。 とはいえどうなってるかくらいの情報は追っているのだが、どうも使いたいと言う気分にならない。 今自分はDenoコントリビューターではないのでいち開発者としての外から見たDenoの現状を語ってみる 最近のDenoはWeb標準に追従している 具体的には、fetchAPIの実装に始まり、ブラウザに実装されているAPIの実装を頑張っている windowオブジェクトもあるし、webcryptoやWebGPUのような、ブラウザでも誰も使ったことのないようなAPIまで実装している 自分はどうもこの流れに乗れなかった この方針は現在のDenoコアチームの強い姿勢であり、最近JavaScriptの標準化団体であるTC39に参加したという だがDenoがサーバーサイドの言語である以上、ブラウザに存在する様々なブラウザ的問題を解決するための仕組みや
HTTP 451、またはエラーメッセージ Unavailable For Legal Reasons(「法的理由により取得不能」の意)は、HTTPプロトコルのエラー・ステータスコードの一つ。これは、政府に検閲されたウェブページのような、違法なリソースをユーザが要求したときに表示される[1]。その451という数字は、書籍が違法化された世界を描く1953年のディストピア小説『華氏451度』にちなんでいる[2]。HTTP 451 は HTTP 403(閲覧禁止)の、より狭義な変形といえる[3]。 HTTP 451 が表示される具体例として、安全保障上危険とみなされるウェブページ、著作権侵害、プライバシー侵害、不敬罪、そのほか法や裁判所命令への違反となるウェブページが挙げられる。 このステータスコードは2015年12月18日に IESG で承認された[4]。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
