[B! Chrome][XSS] efclのブックマーク

サクサク読めて、アプリ限定の機能も多数！アプリで開くはてなブックマーク閉じる ●はてなブックマークって？●アプリ・拡張の紹介●ユーザー登録●

efcl id:efcl ● 54,748 ブックマーク ● - お気に入り ● - お気に入られ

●すべて ● node (56) ● .net (31) ● 2ch (62) ● 3D (25) ● AIR (47) ● AMD (78) ● AMP (24) ● API (626) ● AST (276) ● ATOK (17) ● Actions (163) ● Android (259) ● Angular (358) ● AppCode (27) ● AppleScript (13) ● Bluesky (20) ● Bluetooth (34) ● Bun (72) ● BusterJS (54) ● C# (46) ● C++ (95) ● CI(194) ● CMS (18) ● CORS (11) ● CQRS (50) ● CSP (90) ● CSS (1965) ● Chinese (12) ● Chrome (1443) ● Clang (16) ● CoffeeScript (139) ● CommonJS (34) ● Conference (41) ● Cooking (35) ● CoreData (182) ● Cydia (46) ● C言語 (60) ● DDD (282) ● DNS (45) ● DOM (597) ● Datadog (18) ● Development (40) ● Docker (149) ● E2E (66) ● E4X (34) ● ECMAScript (1925) ● ESLint (197) ● Eclipse (28) ● ElasticSearch (12) ● Electron (287) ● EmEditor (25) ● Emacs (69) ● Ember (26) ● EventSourcing (28) ● Evernote (36) ● Extension (280) ● Extension開発 (34) ● Fetch (70) ● Firebug (147) ● Flutter (13) ● Flux (196) ● GAE (24) ● GCP (32) ● GUI (64) ● GraphQL (161) ● Greasemonkey (515) ● Grunt (68) ● HLS (34) ● HTML (718) ● HTML5 (363) ● HTTP (424) ● HTTP2 (70) ● HTTPS (15) ● Heroku (13) ● IDE (184) ● IE(361) ● IME (72) ● Image (91) ● IndexedDB (14) ● Interview (26) ● JSDoc (27) ● JSON (403) ● JScript (38) ● JSer (143) ● JXA (12) ● Java (174) ● JavaScript (13318) ● Jenkins (13) ● JetBrains (107) ● Jetpack (63) ● Keyboard (13) ● LDR (80) ● LLVM (44) ● LOOX_U (17) ● LaTeX (16) ● Lambda (113) ● LanguageModel (50) ● Lua (35) ● MS(102) ● MSEdge (125) ● MVC (172) ● MachineLearning (100) ● Markdown (478) ● Mercurial (21) ● MicroFrontend (25) ● Microservices (53) ● Microsoft (18) ● Mindmap (36) ● MongoDB (26) ● Mozilla (96) ● MySQL (34) ● NILScript (18) ● Native (14) ● Next.js (184) ● Notion (44) ● OAuth (59) ● OCR (16) ● OOP (27) ● OS(41) ● Objective-C (855) ● OpenSource (294) ● Opera (71) ● PDF (304) ● PSP (34) ● PWA (39) ● PhoneGap (18) ● PostCSS (20) ● PostgreSQL (29) ● ProgressiveWebApp (32) ● Promises (357) ● Prototype.js (15) ● QUIC (21) ● R(56) ● React (1749) ● RegExp (45) ● ReleaseNote (3462) ● Remix (40) ● Rust (370) ● Rx(77) ● SBM (49) ● SEO (40) ● SQL (109) ● SQLite (32) ● SSH (31) ● SSL (71) ● SSRF (15) ● SVG (265) ● SaaS (16) ● Sass (154) ● Selenium (48) ● Sencha (19) ● ServiceWorker (141) ● ShellScript (62) ● Shop (22) ● Sketch (12) ● Sphinx (38) ● SublimeText (17) ● Survey (30) ● Svelte (45) ● TC39 (18) ● TiddlyWiki (17) ● Tips (188) ● Titanium (30) ● Tools (2731) ● TravisCI (85) ● TypeScript (1191) ● UI(878) ● UML (12) ● URL (213) ● UX(28) ● Unicode (46) ● Ustream (13) ● V8 (270) ● VPN (12) ● VPS (23) ● VR(20) ● VSCode (117) ● Vimperator (15) ● VirtualDOM (58) ● Vue (275) ● W3C (182) ● WAI-ARIA (76) ● WHATWG (75) ● WSH (14) ● WebAPI (28) ● WebAssembly (290) ● WebComponents (232) ● WebExtension (14) ● WebGL (141) ● WebGPU (12) ● WebPlatformAPI (253) ● WebRTC (83) ● WebSocket (85) ● WebStorm (154) ● XHR (118) ● XML (42) ● XPCOM (28) ● XSS (282) ● Xcode (241) ● Yahoo (34) ● Youtube (36) ● accessibility (292) ● ad(12) ● addon (642) ● adobe (52) ● adult (19) ● ajax (18) ● alfred (61) ● algorithm (88) ● altJS (18) ● amazon (74) ● animation (144) ● app (111) ● apple (137) ● architecture (122) ● article (2609) ● asciidoc (36) ● asm.js (17) ● astro (22) ● atom (45) ● audio (120) ● autolayout (15) ● aws (253) ● babel (247) ● backbone.js (88) ● bash (22) ● benchmark (53) ● blink (49) ● blog (287) ● book (1587) ● browser (1601) ● browserify (150) ● bundler (80) ● business (18) ● canvas (239) ● cdn (96) ● cloudflare (125) ● cocoa (66) ● cocoapods (57) ● color (158) ● comic (45) ● communication (47) ● community (142) ● company (239) ● console (639) ● d3.js (55) ● dart (65) ● database (75) ● debug (834) ● deno (142) ● design (369) ● diagram (26) ● dictionary (56) ● document (987) ● domain (29) ● donation (65) ● dropbox (45) ● ebook (33) ● editor (573) ● english (245) ● epub (60) ● event (92) ● example (38) ● explorer (92) ● express (30) ● facebook (90) ● fashion (18) ● figma (29) ● finance (68) ● firebase (18) ● firefox (1617) ● flash (158) ● flex (23) ● flowtype (121) ● fonts (228) ● gadget (43) ● game (175) ● git (707) ● gitbook (14) ● github (1303) ● golang (204) ● google (622) ● graphic (37) ● gulp (105) ● hack (20) ● health (68) ● hiring (19) ● history (50) ● hosting (26) ● i18n (145) ● iPad (38) ● iPhone (615) ● iTunes (49) ● illust (100) ● internet (14) ● ios (3821) ● issue (787) ● jQuery (625) ● jailbreak (125) ● jailbreak_app (57) ● japanese (163) ● jasmine (63) ● jekyll (43) ● jest (16) ● job (39) ● jsx (46) ● keysnail (22) ● kubernetes (61) ● language (17) ● law (16) ● legal (58) ● library (6771) ● license (78) ● links (88) ● linux (112) ● mac (982) ● macOS (74) ● mail (215) ● math (19) ● mdn (22) ● memo (12) ● mobile (302) ● module (119) ● money (34) ● monorepo (48) ● mountain (12) ● music (127) ● network (43) ● news (257) ● nginx (16) ● nlp (89) ● node.js (2497) ● nodejs (155) ● npm (775) ● nw.js (56) ● oculus (32) ● office (82) ● opinion (427) ● p2p (43) ● package (18) ● paper (91) ● password (40) ● pc(65) ● performance (916) ● perl (37) ● person (111) ● philanthropy (27) ● photo (37) ● photoshop (34) ● php (131) ● pixiv (26) ● playwright (17) ● plugin (453) ● pnpm (33) ● podcast (75) ● political (42) ● polyfill (74) ● prisma (13) ● privacy (209) ● program (672) ● project (29) ● proposal (637) ● proxy (59) ● python (167) ● rails (44) ● reST (17) ● redmine (24) ● redux (205) ● refacoring (15) ● research (15) ● rollup (14) ● rspack (14) ● rss (195) ● ruby (174) ● safari (352) ● scala (64) ● search (604) ● secretlint (21) ● security (2030) ● self (29) ● server (111) ● serverless (46) ● slack (46) ● slide (1817) ● sns (43) ● software (1870) ● sound (52) ● sourcemap (37) ● spec (599) ● startup (51) ● stats (14) ● stream (57) ● swift (179) ● template (59) ● terminal (30) ● terraform (12) ● test (52) ● testing (1852) ● textlint (290) ● todo (115) ● tombloo (69) ● translate (74) ● tumblr (73) ● tutorial (740) ● twitter (670) ● userChrome.js (59) ● video (825) ● vim (98) ● vista (31) ● vite (79) ● voice (41) ● web (384) ● webdriver (33) ● webkit (314) ● webpack (368) ● webservice (2445) ● webview (65) ● webworker (74) ● wiki (120) ● windows (335) ● wordpress (133) ● workflow (42) ● xpath (46) ● yarn (100) ● zig (25) ● zsh (57) ● はてな (162) ● まとめ (938) ● アクセス解析 (58) ● アップローダー (48) ● アニメ (39) ● アルゴリズム (105) ● アンケート (26) ● イベント (208) ● インタビュー (67) ● ウイルス (17) ● オープンソース (43) ● キーボード (154) ● クリップボード (44) ● グラフ (161) ● コマンドプロンプト (15) ● コミュニケーション (16) ● コードリーディング (13) ● コードレビュー (23) ● サンプル (43) ● サーバー (189) ● ジェネレーター (67) ● スクリーンショット (28) ● ストレージ (12) ● スライド (119) ● セキュリティ (30) ● チートシート (87) ● デザインパターン (73) ● デスクトップ (12) ● データベース (118) ● トラブル (20) ● ニコニコ動画 (325) ● ネタ (22) ● バージョン管理 (21) ● ファイル (13) ● ブックマークレット (100) ● プロトコル (22) ● メモ (38) ● ライセンス (59) ● ランチャー (18) ● リファクタリング (27) ● リファレンス (110) ● 仕事 (101) ● 仮想化 (35) ● 企業 (168) ● 共有 (20) ● 初心者 (12) ● 勉強 (136) ● 周辺機器 (19) ● 図 (75) ● 圧縮解凍 (39) ● 広告 (52) ● 文字コード (87) ● 文章 (172) ● 日本語 (13) ● 東方 (42) ● 校正 (14) ● 機械学習 (44) ● 正規表現 (133) ● 歴史 (199) ● 法律 (24) ● 海外 (24) ● 無駄知識 (53) ● 物欲 (130) ● 生活 (47) ● 用語 (40) ● 画像 (625) ● 素材 (69) ● 統計 (48) ● 翻訳 (464) ● 自然言語 (58) ● 著作権 (17) ● 言語 (30) ● 設定 (172) ● 設計 (182) ● 論文 (72) ● 講座 (28) ● 資料 (142) ● 開発環境 (79) ● 関数型プログラミング (75) ● 電子書籍 (154) ● 青空文庫 (16) ● JavaScript (13318) ● library (6771) ● ios (3821) ● ReleaseNote (3462) ● Tools (2731) ● article (2609) ● node.js (2497) ● webservice (2445) ● security (2030) ● CSS (1965)

ChromeとXSSに関するefclのブックマーク (17)

CVE-2023-5480: Chrome new XSS Vector

● 9 users ● blog.slonser.info ●テクノロジー Chrome XSSThe article is informative and intended for security specialists conducting testing within the scope of a contract. The author is not responsible for any damage caused by the application of the provided information. The distribution of malicious programs, disruption of system operation, and violation of the confidentiality of correspondence are pursued by law. PrefaceThis article is dedi

efcl 2024/01/27

Payments Request APIのJIT Service Workerで、Content Typeを見ずにWorkerファイルを指定できたため、ファイルアップロード機能を持つサイトでSWのレスポンス書き換えを使ってXSSが可能だった問題 ●ServiceWorker ●XSS ●Chrome ●article リンク

Intent to Deprecate and Remove: data: URL in SVGUseElement

● 1 user ● groups.google.com ●テクノロジー

efcl 2023/01/13

SVGのuseでdata urlはXSS時にTrustedTypeをバイパスできるのと、他に実装がないので消すという話 ●SVG ●XSS ●Chrome リンク

Cross-Site Scripting (XSS) Cheat Sheet - 2024 Edition | Web Security Academy

● 104 users ● portswigger.net ●テクノロジー Cross-site scripting (XSS) cheat sheet This cross-site scripting (XSS) cheat sheet contains many vectors that can help you bypass WAFs and filters. You can select vectors by the event, tag or browser and a proof of concept is included for every vector. You can download a PDF version of the XSS cheat sheet. This is a PortSwigger Research project. Follow us on Twitter to receive updates. Downloaded

efcl 2019/09/28

XSSのチートシート。基本的なペイロード、AngularJSやVueなどに合わせたペイロード、CSPバイパスなど ●XSS ●チートシートリンク

Google deprecates XSS Auditor for Chrome

● 3 users ● portswigger.net ●テクノロジー The age of browser XSS filters is over Google is removing XSS Auditor for Chrome after a series of vulnerabilities have plagued the hotly-contested security feature. The anti-cross-site scripting (XSS) techno logy is to be deprecated and removed, Chromium devs announced last night. XSS Auditor has generated more than a little controversy since itwas implemented in Chrome v4 in 2010, with the disco

efcl 2019/07/21

MSEdgeに続いてChromeのXSS Auditorも非推奨となることについて。 ●Chrome ●XSS ●article リンク

Prevent DOM-based cross-site scripting vulnerabilities with Trusted Types | Articles | web.dev

● 35 users ● web.dev ●テクノロジー Prevent DOM-based cross-site scripting vulnerabilities with Trusted Types Stay organized with collections Save and categorize content based on your preferences. DOM-based cross-site scripting (DOM XSS) happens when data from a user-controlled source (like a username, or a redirect URL taken from the URL fragment) reaches a sink, which is a function like eval() or a property setter like .innerHTML

efcl 2019/02/16

Chrome 73でTrusted Typesがフラグ付きで実装され、76までOrigin Trialとして試せる。 TrustTypesはXSSのsinkとなる部分をポリシーでチェックする。ポリシーに一致しない場合はエラーに落とすことで回避するAPIと仕組み ●Chrome ●XSS ●HTML ●JavaScript ●article リンク

Browser's XSS Filter Bypass Cheat Sheet

● 74 users ● github.com/masatokinugawa ●テクノロジー You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

efcl 2017/05/22

XSSフィルターのバイパスチートシート ●ie ●MSEdge ●safari ●Chrome ●XSS ●security リンク

https://bugs.chromium.org/p/chromium/issues/detail?id=345205

● 1 user ● bugs.chromium.org ●テクノロジー

efcl 2014/06/30

Chromeに入るDevToolsを使ったSelf-XSS防止機能 `always allow`とタイプさせる ●Chrome ●debug ●Tools ●XSS リンク

SVG Fun Time - Firefox SVG Vector + Bypassing Chrome XSS Auditor

● 3 users ● insert-script.blogspot.com ●テクノロジー SVG Fun Time - Firefox SVG Vector + Bypassing Chrome XSS Auditor I played around withSVG and the <use>element and found some interesting things, which I want to share. I do not know if anyone already posted some information about that. Let me know, if there is already information out there :) ====================== SVG - <use>element ====================== The <use>element is used in SVG to re

efcl 2014/02/05

SVGを使ったXSSフィルターのバイパス。 svgのuse要素でdataURIで読み込ませたsvgもsame origin ●XSS ●SVG ●Chrome リンク

https://bugs.chromium.org/p/chromium/issues/detail?id=310990

● 1 user ● bugs.chromium.org ●テクノロジー

efcl 2014/01/23

XSSAuditor bypassesはセキュリティissueという扱いじゃないんだ via http://blog.elevenpaths.com/2014/01/how-to-bypass-antixss-filter-in-chrome.html ●XSS ●Chrome ●security リンク

How to bypass antiXSS filter in Chrome and Safari (discovered by ElevenPaths)

● 3 users ● business.blogthinkbig.com ●テクノロジー Modern browsers usually have an antiXSS filter, that protects users from some of the consequences of this kind of attacks. Normally, they block cross site scripting execution, so the “injected” code (normally, JavaScriptorHTML) is not executed inside victim’s browser. Chrome calls this filter XSSAuditor. Our coworker Ioseba Palop discovered a way to bypass itmonths ago. Since itis already reso

efcl 2014/01/23

iframeのsrcdoc=""属性で、XSSフィルターをバイパス出来てしまうバグ。 Chrome 32.0.1700.76で修正ed ●Chrome ●webkit ●XSS リンク

Chrome XSS Protection Bias (using Rails) - Labs Detectify

● 10 users ● labs.detectify.com ●テクノロジー The Chrome XSS Protection (also known as XSS auditor) checks whether a script that’s about to run on a web page is also present in the request that fetched that web page. If the script is present in the request, that’s a strong indication that the web server might have been tricked into reflecting the script. So in short, it blocks reflected XSS attacks. A couple of months ago I discovered that th

efcl 2014/01/16

Chrome XSSフィルタ回避 on Rails ●Chrome ●XSS リンク

Intent to Ship: Long Task API - Google Groups

● 148 users ● groups.google.com ●テクノロジー

efcl 2013/04/18

Blinkがフォークした時最後のコミット ●blink ●歴史リンク

欧美av色爱综合网欧美av_精品国产在线观看福利_日本在线看片免费视频<

● 3 users ● www.dhirajranka.com ●テクノロジー警告‥本网站只适合十八岁或以上人士浏览.No Entry For Less Than 18-Year-Old. 站点申明‥我们立足于美利坚合众国，对全球华人服务，受北美法律保护，请遵守当地法律法规不要随意转播！ [欧美av色爱综合网欧美av_精品国产在线观看福利_日本在线看片免费视频<] © 2019 All Rights Reserved.

efcl 2011/09/26

XSSフィルタ回避 ●XSS ●Chrome リンク

Google ChromeのXSSフィルタを無効にする方法 | MemeTodo

● 10 users ● meme.efcl.info ●暮らし 2011年5月22日日曜日 Google ChromeのXSSフィルタを無効にする方法 Chromeには4ぐらいからXSSフィルター(WebkitではXSS auditorというのが正式名称っぽい)があって、Chrome11で作り直されたのがデフォルトでオンになっているようです。 Google Chrome gets cranked to 11, improves XSS Auditor - InternetNews:The Blog - Sean Michael Kerner で、このXSSフィルターはコンソールに"Refused to execute a JavaScript script. Source code of script found within request."と吐いて、他に視覚的なメッセージを出さないで止めるので、XSSの検証とかだと逆に邪魔くさい感じになります。

efcl 2011/07/02

Chromeの起動引数でフィルタを向こう ●Chrome ●security ●XSS リンク

グーグル、﹁DOM Snitch﹂をリリース--危険なサイトを検出

● 24 users ● japan.cnet.com ●テクノロジー Googleは米国時間6月21日、ブラウザ内で実行すると危険なウェブサイトソフトウェアについて警告を発する﹁DOM Snitch﹂というオープンソースツールをリリースした。同ソフトウェアはウェブサイトコードの実行方法を調べて、コマンドの実行がウェブブラウザ経由でマルウェアをコンピュータに配布するクロスサイトスクリプティングのような攻撃につながるかどうかを確認する、実験的な﹁Google Chrome﹂拡張だ。 GoogleのセキュリティテストエンジニアであるRadoslav Vasilev氏はブログ投稿で、DOM Snitchを利用することにより﹁開発者やテスターはクライアント側のコードによく見られる、危険な慣行を特定できるようになる﹂と述べた。同氏は次のように説明している。われわれはこれを可能にするため、︵例えば︶document.writeやHTMLElement.innerHTM