2009-10-01から1ヶ月間の記事一覧
アリスは自分のサイトにフレームを使っています。でも、他のサイトのフレームで呼ばれるのは嫌いです。ですので、アリスは自分のサイトのページにフレームバスターを記述しました。 要は、location.host がアリスのサイトでなければ、警告ページにリダイレク…
マジかよ…気が狂いそうです。教えてちょんまげ(古語)
アリスのサイトでは JS ファイルをサーブしているけれども、その JS 記述中で、location.host のチェックをしています。 location.host == "alice.tld" のときのみ、意味のあるスクリプトが実行され、それ以外では、何もせずにスルーしてしまいます。自分の…
フラナガンの記述に従えば、 location.host の値は当然、 location.href に連動していますから、サーバ側のリダイレクトにより、実際にロードされた URL の host の値が格納されていないこともありうる、ということになります。ううむ。 location.host によ…
先ごろまで日記にも書いたようにlocation.hostについてあれこれ考えていたのですが、いいかげん飽きましたのでいったん忘れていたところ、偶然にも本日、驚くべきことにぶつかりました。 JavaScriptのバイブルである『サイ本(フラナガン著)』に以下のような…
<div id="i01"></div> なんてのがあって、i01.ownerDocument.parentWindowつうのがwindow取得に使えるのか、そうですか。ええと?getAttributeをかますと?i01.getAttribute("OWNERdOCUMENT",0)でdocumentを取得しておいてそいつをi02とすれば、i02.getAttribute("PARENTwINDOW",…
なんだそれ。documentからwindowにさかのぼれるなんて今知った。IEだけ?
iframeで呼び出された側から親をみにいって、そのcontentWindow(つまり子のwindow)を取得。IDSかなんかでframeElementをひっかけていなければもしかして、windowの取得に使えるのかもしれない。もっとも、同一ドメインでないとこんなことはできないはずだけ…
parent[0]とかいうのが有効な場合があるのねん(涙 iframeで呼び出されたHTMLページから親を呼んだときにその親に含まれるiframe等の最初のアレがparent[0]。へぇ。
今年のAVtokyoに参戦しようかと、ネタを考えたいたもののうちひとつを、今日の日記に書きました。 もうひとつは、Firefoxでアドレスバーの偽装をしてみようかというもの(document.referrer偽装について調べていたらその系でアドレスバー偽装ぽいものが…正し…
link 2005-08-08::Hotmailの受信ボックス一覧が他者に漏洩する脆弱性(解決済み) 第三者に容易に推測可能なURLをもつJSの配信 公開したくないデータを配信するために第三者に容易に推測可能なURLをもつJSを提供するパターンには問題点があるケースもありま…
link Hotmail/Live Mail Information Disclosure vulnerability ::sla.ckers.org web application security forum :: Full Disclosure important This information is at (Date: March 16, 2007) Guess where this data came from? Right, from just that sc…
<div id="i01"> Here comes window.name </div> <script> //where name == "\u003Cs\u003ETEST\u003C/s\u003E" i01.setAttribute("InNeRhTmL", name, 0); </script>... works on IE, except for IE8 standard mode ;-), and more ...var DOCUMENT = i01.getAttribute("OWNERdOCUMENT", 0); // == d…
私が学生時代に量子力学について講義を受けたとき、量子力学では測定の過程については論じてはいけないと習いました。なんたること! しかし、今や一般化測定について物理的にも数学的にも厳密な定式化が完了していますから、上のように習ったならば「先生、…
確率が負という記事が日経サイエンス10月号にあったみたい。たぶん、実験での測定結果に条件付確率を無理にあてはめて4つの経路についての事前確率を求めているのだと思うのだけれども、その際に確率が負になる経路が出てくるということなのだろうな。記事を…
callの第一パラメータはコンテキストなのだけれども、<script> var f = location.replace; var r = f.call(location, "about:blank"); </script>という風にコンテキストをlocationにしないと駄目らしい。FirefoxでもOperaでも。ところで、コンテキストとしてlocationがふさわ…
とりあえずFirefoxとOperaだけでいこうか。
functionならcallやapplyが使えて当然だという認識が…もろくも崩れ去りました。IEではむしろ使えない関数の方が多い感じすらあります。むむむ。
id:smoking186さんのブックマーク(20100915)経由で以下の記事を拝見。 条件付確率敗れたり::himaginaryの日記 くだんの二重スリット実験というのは実は異なる二つの系に対する測定過程(p1,p2の組とp3)なのであって、このふたつの実験をごちゃまぜにして統一…
HTML断片を記述した後ブラウザFirefoxで開いて何も起こらないのを確認直後、DOMInspectorを使って#documentのJavaScriptObjectを見に行ってやり、window.defaultViewを参照しようとして該当項目をクリックした瞬間、くだんのHTML断片のscript記述中のalertが…
秋であります。女心と秋の空の季節であります。さて、女性の心をJavaScriptのオブジェクトのひとつのインスタンスとして捉えてみます。名前を qq としておきましょう。var qq = {ここに女心を記述する};以上の定義で持って、女心を聞いてみたいのです。alert…
The Real Firefox かわいいか?かわいいのか?なでたいか?ほむほむしたいか?
ばけらさんの資料を拝読していて、最近では忘れかけていたことがらを追記いたしました。古(いにしえ)においては属性値中の&もまた文字参照すべしという認識があったという話題です。歴史的興味があるかたはどうぞ。