問題タブ [whitelist]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
string - XSLT 1.0 を使用して文字列をホワイトリストに登録された文字に制限する
質問
XSLT 1.0 を使用して、任意の文字を含む文字列を指定すると、次の規則を満たす文字列を取得するにはどうすればよいですか。
- 最初の文字は、az、AZ、コロン、またはアンダースコアのいずれかでなければなりません
- 他のすべての文字は、上記または 0 ~ 9、ピリオド、またはハイフンのいずれかでなければなりません
- 上記の規則を満たさない文字がある場合は、アンダースコアに置き換えます
バックグラウンド
XSLT では、いくつかの属性を要素に変換していますが、要素名で使用できない値が属性に含まれていないことを確認する必要があります。予想どおりに変換されている限り、名前に変換される属性の整合性についてはあまり気にしません。また、要素名のすべての有効な文字を補正する必要もありません(たくさんあります)。
私が抱えていた問題は、変換機能が簡単にアンダースコアに変換できるスペースを含む属性にありました。
しかし、すぐにスラッシュを使用している属性をいくつか見つけたので、それも追加する必要があります。これはすぐに手に負えなくなります。許可された文字のホワイトリストを定義し、許可されていない文字をアンダースコアに置き換えたいと思っていますが、翻訳はブラックリストから置き換えることで機能します。
java - GWTのシリアル化ポリシーホワイトリストにタイプを追加するにはどうすればよいですか?
GWTのシリアライザーのjava.io.Serializable
サポートは制限されていますが、セキュリティ上の理由から、サポートするタイプのホワイトリストがあります。私が見つけたドキュメント、たとえばこのFAQエントリには、シリアル化するタイプはすべて「シリアル化ポリシーのホワイトリストに含める必要がある」と記載されており、リストはコンパイル時に生成されますが、コンパイラがどのように決定するかについては説明されていません。ホワイトリストに載っているもの。
java.lang.String
生成されたリストには、やなどの標準ライブラリの一部であるいくつかのタイプが含まれていjava.util.HashMap
ます。をシリアル化しようとするとエラーが発生します。これはインターフェイスjava.sql.Date
を実装していますが、ホワイトリストに含まれていません。Serializable
このタイプをリストに追加するにはどうすればよいですか?
javascript - Javascript ファイルを、所有している別のメイン ドメインに移動するのはなぜですか?
昨年かそこらで、多くの主要な Web サイトがページの構造に同じ変更を加えたことに気付きました。それぞれの Javascript ファイルは、ページ自体 (またはそのサブドメイン) と同じドメインでホストされていたものから、別の名前のドメインでホストされているものに移動しました。
単なる並列化ではない
現在、ページのコンポーネントを複数のドメインに分散させてダウンロードを並列化する、よく知られた手法があります。 Yahooは、他の多くの人と同様にそれを推奨しています. たとえば、www.example.comは HTML がホストされている場所であり、画像はimages.example.comに配置し、javascript はscripts.example.com に配置します。これは、ほとんどのブラウザーがサーバーごとの同時接続数を制限して、良きネット市民であるという事実を回避します。
上記は私が話していることではありません。
コンテンツ配信ネットワークへの単なるリダイレクトではありません (または、そうかもしれません。質問の下部を参照してください)。
私が話しているのは、Javascript をまったく別のドメインでホストすることです。具体的に言ってみましょう。昨年かそこらで、私は次のことに気付きました:
youtube.comは .JS ファイルをytimg.comに移動しました
cnn.comは .JS ファイルをcdn.turner.comに移動しました
weather.comは .JS ファイルをj.imwx.comに移動しました
今では、大規模な Web サイト向けのアウトソーシングを専門とするAkamaiのようなコンテンツ配信ネットワークについて知っています。(Turner の特別なドメインの「cdn」という名前は、この概念の重要性を示しています)。
ただし、これらの例では、各サイトにはこの目的のために特別に登録された独自のドメインがあり、コンテンツ配信ネットワークやその他のインフラストラクチャ プロバイダーのドメインではないことに注意してください。実際、これらのスクリプト ドメインのほとんどからホームページを読み込もうとすると、通常は会社のメイン ドメインにリダイレクトされます。また、関連する IP を逆引きすると、CDN 企業のサーバーを指しているように見える場合とそうでない場合があります。
なぜ私は気にするのですか?
以前は 2 つの異なるセキュリティ会社で働いていたので、悪意のある Javascript に悩まされてきました。
その結果、私は Javascript (および Java などの他のアクティブ コンテンツ) の実行を許可するサイトをホワイトリストに登録する慣行に従います。その結果、 cnn.comのようなサイトを適切に機能させるには、手動でcnn.comをリストに追加する必要があります。それは後ろの痛みですが、私は代替案よりもそれを好みます。
scripts.cnn.comなどを使用して並列化した場合、適切なワイルドカードを使用するとうまくいきました。また、人々が CDN 会社のドメイン以外のサブドメインを使用している場合、CDN 会社のメイン ドメインを先頭にワイルドカードを付けて許可するだけで、一石二鳥です (*.edgesuite.net や *.akamai.com など)。
現在、(2008 年現在) これでは不十分であることがわかりました。ここで、ホワイトリストに登録したいページのソース コードを調べて、そのサイトが Javascript を保存するために使用している「秘密の」ドメイン (複数可) を特定する必要があります。場合によっては、サイトを機能させるために 3 つの異なるドメインを許可する必要があることに気付きました。
これらすべての主要なサイトがこれを始めたのはなぜですか?
編集: 「onebyone」が指摘したように、コンテンツの CDN 配信に関連しているようです。それで、彼の研究に基づいて質問を少し修正させてください...
weather.comがtwc.vo.llnwd.netではなくj.imwx.comを使用しているのはなぜですか?
youtube.comがstatic.cache.l.google.comではなくs.ytimg.comを使用しているのはなぜですか?
これには理由があります。
apache - Apache ホワイトリスト リバース プロキシ
ここにはリバース プロキシがあり、バージョン 2.2.x で Apache を実行しています。基本的に、有効な URL のみがプロキシを通過し、Web サーバーによって処理されるように、ホワイトリストを作成したいと考えています。Apache 構成ファイルでこれをどのように行いますか、または SQUID を使用する必要がありますか?
gmail - Yahoo、Gmail、Hotmail、AOLのホワイトリストはありますか?
私のウェブサイト(開発中)では、メンバーがお互いにメッセージを送信して直接メールに送信できるので、一部のメンバーが他のメンバーにスパムを送信できるのではないかと心配しています(スパムフィルターはありますが、送信されません)ご存知のように100%保護されています)、ドメインがYahoo、Gmail、Hotmail、またはAOLでブラックリストに登録され、ドメインから送信されたメッセージがスパムフォルダに入れられるのではないかと心配しています。これが追加したい理由です。ホワイトリストへの私のウェブサイトのドメイン(存在する場合)。
PSメンバーがサイトでチェックするプライベートメッセージを使用したくないのですが、これには理由があります。
ありがとう
.net - ホワイトリスト モデル バインディングが複雑なプロパティで機能しないようです
次のような POST アクションがあります。
デフォルトのモデル バインダーを使用しており、資格情報は User オブジェクトのプロパティです。Credentials には 2 つのフィールド (emailAddress と password) があります。ホワイトリストを削除すると、資格情報オブジェクトがバインドされ、すべてが期待どおりに機能します。ただし、そのホワイトリストを提供すると、userrole はバインドされますが、複雑なプロパティの電子メールとパスワードはバインドされません。フォームの値を確認しましたが、それらがリストされていて、オブジェクトと一致しているため、気になります。
何か不足していますか?
attributes - HTMLpurifier で一部の属性だけをホワイトリストに登録する方法は?
HTMLpurifier で一部の属性だけをホワイトリストに登録する方法は? HTMLpurifier に、許可されていない他のすべての属性を削除してもらいたい。
python - python/django の電子メールのホワイトリスト/ブラックリスト
ユーザーのアカウントにコンテンツを投稿できる電子メール アドレスを追跡する django アプリを作成しています。ユーザーは、好きなようにアドレスをホワイトリストおよびブラックリストに登録できます。
指定されていないアドレスは、メッセージごとに処理するか、デフォルトでホワイトリストまたはブラックリスト (ユーザー指定) にすることができます。
これが私が書いたdjangoモデルです...それは良い方法だと思いますか? または、各ユーザーのプロファイル モデルにホワイトリストとブラックリスト フィールドを追加する必要がありますか?
次に、次のようなことができます。
より良い方法はありますか?
windows - Windows用の最高のホワイトリスト対応httpプロキシ?
仕事用のマシン(管理者権限なし、WinXP)にhttpプロキシを設定して、URLのホワイトリストへのアクセスのみを許可したいと思います。最も簡単な解決策は何でしょうか?可能であればオープンソースソフトウェアを好みます。
flash - Flash アプリケーションをサイトロックする方法
私は自分の Web サイトにまもなく公開する予定の Flash アプリケーションを持っています。防止するためにサイトに「ロック」できるようにしたい:
- 別のサイトで .SWF をホストする (違法なダウンロード後)、および
- 別のサイトの iFrame に含まれている場合に .SWF が開かないようにする
許可しながら:
- URL のすべてのバリエーションを定義しなくても通過/有効化されるサイトのホワイトリスト (例: www.abc.com、abc.com、abc.com/game/、games.abc.com など)
このタスクを実行するのに数百ドルかかる商用アプリケーションがありますが、次の方法で実行できると確信しています。
何とかして。これを行う方法を知っている人はいますか?私の最大の関心事は iFrame の防止です。サイトがフラッシュを盗んだ場合、通常は自分のサイトに iframe を送信して帯域幅のコストを節約するためです。
私は (Flash IDE ではなく) Flex SDK を使用しているので、いくつかの純粋な AS3 コードでうまくいくでしょう。