のくす牧場
コンテンツ
牧場内検索
カウンタ
総計:127,062,913人
昨日:no data人
今日:
最近の注目
人気の最安値情報

    元スレ+ JavaScript の質問用スレッド vol.121 +

    JavaScript覧 / PC版 /
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。
    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitter

    301 = :

    >>300
    もしかしてシングルクォートの話してる?

    http://d.hatena.ne.jp/ockeghem/20070510/1178813849

    > 私が、シングルクォート「'」もエスケープ対象に加えているのは、
    > 属性値をシングルクォートで囲むケースが少なからず見受けられるからで、
    > かならずダブルクォート「"」で囲むように徹底されていれば、このガイドラインは必要ありません。

    まあ、あったほうがいいよね。

    302 = :

    Underscpreはこうらしいね。 これだけやっておけば大丈夫みたい。

    http://stackoverflow.com/questions/6020714/escape-html-using-jquery
    There's also _.escape in Underscore, that does it like this:

    // List of HTML entities for escaping.
    var htmlEscapes = {
    '&': '&',
    '<': '<',
    '>': '>',
    '"': '"',
    "'": ''',
    '/': '/'
    };

    // Regex containing the keys listed immediately above.
    var htmlEscaper = /[&<>"'\/]/g;

    // Escape a string for HTML interpolation.
    _.escape = function(string) {
    return ('' + string).replace(htmlEscaper, function(match) {
    return htmlEscapes[match];
    });
    };

    303 = :

    訂正版はこれでいいのかな。

    function escapeHTML(str) {
    return str.replace(/&/g, "&").replace(/"/g, """).replace(/</g, "<").replace(/>/g, ">").replace(/'/g, "''").replace(/\//g, "'/");
    }

    304 = :

    >>300
    あえてこちらには書き込まなかったのになぜこっちにコピペするんだよ

    >>302
    明らかに足りない
    「ライブラリで使っているから大丈夫」という信者判断はいい加減に卒業しろ
    しかも、「大丈夫みたい」とは何も理解してないだろ

    305 = :

    >>304
    「足りない」っていうぐらいなら
    何が足りないのかいいなよ。
    難癖つけてるようにしか見えないからさ

    306 = :

    >>304
    > あえてこちらには書き込まなかったのになぜこっちにコピペするんだよ

    こっちの続きだから

    > 明らかに足りない

    じゃあ、足りない文字は何?
    そいれ付け加えるだけなんだからさ

    307 = :

    >>304
    あなたよりも、徳丸さんの方を信じますよw

    徳丸さんは / はエスケープしてないね。
    たしかに要らないように思える。

    308 = :

    仕様を読めば分かる事を一々聞くな
    仕様も読めない奴が一人前な口を叩くな

    この後の展開は読めてる
    「知らないんだろ?じゃあ、問題ないってことだな」
    煽ってもおまえに教える気は全くないがね

    309 = :

    本当、文句だけ言って自分の意見は書かないクズはなんなんだろうな

    310 = :

    それじゃだめ

    なんで?

    いいやだめだめ

    だからなんで?

    だめったらだめ

    駄目だこいつ話にならねぇw

    311 = :

    仕様によると最低限のエスケープはこれだけらしい。

    http://d.hatena.ne.jp/ockeghem/20070510/1178813849
    > W3CのHTML4.01の仕様を見ると、~略~すなわち、最低限のエスケープだと以下のようになります。
    >
    > エスケープ対象項目 エスケープ対象文字
    > 要素内容(一般のテキスト) 「<」、「&」
    > 属性値 「"」、「>」、「&」

    これ+ブラウザのバグ対策か。

    312 = :

    >>308
    > この後の展開は読めてる
    > 「知らないんだろ?じゃあ、問題ないってことだな」

    普通にその通りの展開だよw

    でも先が読めてても、対策出来てないんじゃ
    片手落ちだけどね。


    お前がパンチを出してくるのは読めていた!(勝ったつもり)
    そしてパンチで殴られる。(笑)
    先が読めてても、殴られる例。

    313 = :

    先が読めてるくせに、その先を行けないっていうのは、
    言い返せないからってことだと思うw

    そういう反論するのはわかっていたが、
    その反論の反論はできないってことだから。

    314 = :

    なんか向こうでこういうこと言ってる奴がいるわw

    > >>132が向こうのスレにコピペされてるんだが、誰がやったんだ?
    > 迷惑だから止めてくれ

    こっちの話を移動させようとしてるの見え見えだってのに
    見苦しいやつだなw

    315 = :

    innerHTML否定厨が完全論破されててワロタw

    316 = :

    replaceの回数だけ文字列を全部読んでいてワロタw

    317 = :

    >>316
    ベンチマークするとそっちのほうが
    速かったりするのはなんでなんだろうか?

    キャッシュの関係なのかな?

    ループが単純=CPUの1次キャッシュに入りきる
    ループが複雑=CPUの1次キャッシュに入りきらない

    318 = :

    >>288,289

    固定の文字列って何?ハードコーディングって用語も知らないの?
    文字列は文字列であり変数に入れようが入れまいが代わりはない
    ハードコーディングされた文字列だから安全って思い込みはやめるべきだ
    "<div onclick='alert(1);'>click</div>"こういうのは文字列じゃないとか抜かすなよ

    >Q. innerHTMLは絶対に使ったらダメなの?
    >A. XSSが起きるような使い方をしなければ使って問題はありません。

    つまり自分でDOMで構築するよりもリスクが高い事を認めているってことだよね

    お前が主張する前にもう言っただろ
    innerHTMLはパフォーマンスが悪くDOMを壊す

    319 = :

    >>303
    エスケープ

    var DIV = document.createElement('div');

    function escapeHTML(str) {
    DIV.textContent = str;
    return DIV.innerHTML;
    }

    というやり方もあるんじゃないか?

    ただし、この関数の場合
    escapeHTML(str1) + escapeHTML(str2) の結果が
    escapeHTML(str1 + str2)
    に等しくならない場合があるブラウザがあると困るかもしれない

    ちなみに逆変換はこれでいけるかな?

    function unescapeHTML(htmlStr) {
    DIV.innerHTML = htmlStr;
    return DIV.textContent
    }

    320 = :

    innerHTMLはパフォーマンスが悪くDOMを壊す(キリッ

    世界中で使われてるのに?
    jQueryにも使うなって言ってこいよ
    変な宗教か何かやってるのかな?

    321 = :

    デタお決まりのjQueryガーwwwwwwwwwwww

    322 = :

    文字列操作で構築、変数部分はエスケープって一昔前に戻った感じだね

    323 = :

    DOMを壊すって曖昧な表現だな
    innerHTMLを使ってもDOMがぶっ壊れたりしないから良く分からんよ

    324 = :

    無知がinnerHTML使うなって言ってて笑える

    325 = :

    ごちゃごちゃとエスケープ処理を作るよりも
    こういう>>319ハックのほうが個人的には好きだな

    326 = :

    >>319
    >>325
    escapeの為にinnerHTMLを使うことは本当の馬鹿だからやめとけ
    innerHTML否定厨よりも頭悪いぞ

    327 = :

    >>325
    賢い方法だが、テキストノードのエスケープ処理しかない点に注意
    属性値のエスケープ処理を追加する必要がある

    328 = :

    >賢い方法だが

    ブラウザの挙動すら理解できてない馬鹿が一匹沸いたな

    330 = :

    まあ今日はポッキーでも喰って落ち着け
    つ━━━一

    331 = :

    一人で回答頑張ってる奴がいるみたいだから、このスレの回答は全てそいつ一人に任せればいいんじゃない?
    そいつの認める奴だけが回答する権利を持つと言わんばかりの有り様だし

    332 = :

    >>318
    > つまり自分でDOMで構築するよりもリスクが高い事を認めているってことだよね

    DOMで構築するほうがリスクが高いよ。
    DOMで構築するとコードが長くなる。
    コードが長くなるということはバグを入れる可能性が高くなる。
    つまりバグを入れるリスクが高い。

    333 = :

    >>331
    それ、いいね。

    じゃあ、君の意見に賛成する俺と
    君は回答しないことにしよう。

    多分君の危険に賛成しない人はいるだろう。
    そういう人は回答してもいいけど、
    少なくとも俺と君、この二人はもう絶対回答しないよ

    334 = :

    >>319
    DOM使ってエスケープするのは、可能といえば可能で
    意外と遅くないらしいんだけど、やり過ぎだと思うよ。

    仕様も実装も簡単なのに、ブラックボックスにするのがね。
    あとサーバーサイドで使う時も考えると、
    純粋なJavaScript(ECMAScript)の範囲にしておきたいし。

    もちろん、DOMベースでやるよりも、文字列ベースのほうが
    少ないメモリで実行できるので速くなる。

    335 = :

    >>318
    > "<div onclick='alert(1);'>click</div>"こういうのは文字列じゃないとか抜かすなよ

    あほじゃね? どこのアホがonclickなんて文字を書くんだよ。

    そんなマヌケがいたとしたら、createElement使っても
    onclick書くだろw

    どんだけおっちょこちょいなんだw

    336 = :

    論点がずれてる。

    JavaScriptを文字列の中に書くのはXSSじゃない。
    それは単にaddEventListnerした要素にすぎない。

    問題なのは文字列の中にJavaScriptを埋め込むことではなく
    文字列の中にXSSを埋め込むこと。

    文字列の中にXSSを埋め込むのは相当難しい。

    337 = :

    >>336
    そのとおりですね。

    俺が言いたかったのは、文字列の中にXSSを埋め込むようなおっちょこちょいは、
    createElement使ってもXSSを埋め込むおっちょこちょいだろだろってことです。

    338 = :

    俺がいいたいのは>>289のようなアホなコードを書く奴は何を書いてもXSSを起こすだろだろってことです

    339 = :

    じゃあアホの部分を修正すればいいだけじゃんかw

    340 = :

    ここはジャイアンのスレですね

    341 = :

    ジャイアンに失礼だろ

    342 = :

    結局また始まってんじゃん

    343 = :

    仕方ないよ。
    innerHTMLなんて、サーバーサイドのechoや
    document.writeと同じで、エスケープすればいいだけの話なのに、
    エスケープしなかったらXSSになるかもしれないから使うなって
    意味不明なことを言ってるようなやつだからね。
    頭が悪い奴はいくら言っても理解できない。

    344 = :

    ゼビウスの開発コードネーム?

    345 :

    いま面白いことを言った!

    346 = :

    ORMでデータを保存する時、
    hoge.save()
    のようなメソッドを発行すると思います
    それによりajaxのリクエストが投げられるでしょう
    しかし複数のデータを保存した場合、たとえばオブジェクトが100個あると、
    100回もリクエストが発行されるのでしょうか?

    347 = :

    >>346
    フレームワークによると思うが
    複数のリクエストをまとめる仕組みがあるだろう。

    そういうたぐいのフレームワークについて
    俺は詳しくないが、そのような仕組みを考えたことはある。
    俺程度が思いつくものなのだから、普通にあると思う。

    348 = :

    そうですか
    調べてみます
    ありがとうございました

    349 = :

    >>330
    チョコの方持つなよ


    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitterで / JavaScript一覧へ
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。

    類似してるかもしれないスレッド

    トップメニューへ / →のくす牧場書庫について