新生鳩丸掲示板♯

えぇと…思い込みと結果が異なっていますが、気に食わないわけではなくて、ビックリしたのです。で、思い込みを正すためにもと。

>DOMに値をセットしてHTML出力としてシリアライズしたら自動的に文字参照になる

ということを私は全然知らないわけなのでした。

DOMに値をセットしてHTML出力としてシリアライズしたら自動的に文字参照になる(だから原理的にXSSは発生し得ない)のですから、逆に文字参照を含んだHTMLを解析したら参照が自動的に展開されるのは当然だと思いますが。

何を問題にしてるのかさっぱりわかりません。単に自分の思い込みと結果が異なっていたのが気に喰わないだけですか?

http://www.w3.org/TR/1998/REC-DOM-Level-1-19981001/level-one-core.html#ID-11C98490

あたりによると

|Note that character references and references to predefined entities are considered to be expanded by the HTML or XML processor so that characters are represented by their Unicode equivalent rather than by an entity reference.

だそうです。

JavaScriptオフな Fx で　Domいんすぺくたぁで見てみましたが、文字参照がほどけていました。 HTMLってそういうものでしたか… (orz)

http://www.google.co.jp/search?hs=uU&hl=ja&client=firefox-a&rls=org.mozilla%3Aja-JP%3Aofficial_s&q=happa%3C%2Fa%3E%3Cscript%3Ealert%280%29%3C%2Fscript%3E%3Ca%3E&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=

上のページにアクセスしてソースを見るとtitle要素は

<title>happa&lt;/a&gt;&lt;script&gt;alert(0)&lt;/script&gt;&lt;a&gt; - Google 検索</title>

となっており、文字参照が出現していることがわかります。

ところが、アドレスバーで、javascript:alert(document.title) としてやると、表示される document.title は

happa</a><script>alert(0)</script><a> - Google 検索

となり、せっかくの文字参照が、ほどけてしまっています。WindowsXPwithSP2 で確認しましたが、IE でも Fx でも Opera でも同様でした。

document.title の中身は、【この年になるまで(なぞ)】てっきり

happa&lt;/a&gt;&lt;script&gt;alert(0)&lt;/script&gt;&lt;a&gt; - Google 検索

になるかと信じていました。 文字参照がほどけてしまうのは、標準的な仕様なのでしょうか？ポインタを御教示いただければ幸いです。

●Ref.

http://d.hatena.ne.jp/hasegawayosuke/20060526#1148639450

よろしくお願いいたします。

Newテニスを買ってくる必要があるとか【謎】。

spamの疑いがある投稿の場合は、spamの疑いがあると検出されたとか何とかメッセージを表示して、(名前未入力などの場合と同様に)再投稿を促すというのはどうでしょうか。

まともな投稿がspamと誤検出された場合も、いったんspamとして受け付けられてから修正を依頼したり二重投稿したりするより、その場で内容を修正して再投稿できたほうが親切でしょう。

>最近こちらに出没しているspamなのですが、

　いやー、私も鬱陶しいと思っているのですが、

>それとですね。　15個ほどのごくごく簡単な謎々を用意してですね、投稿する際に答えをひらがなで入れるってのはどうでしょう？　「いぬ」とか「さる」とか。

　ログを見ても明らかに投稿フォームを経由せずに、いきなり POST で爆撃なので、フォームに何かいれるだけで解決できそうではあるのですが、フォームをいちいち動的に吐くとサーバの負荷が面倒なことになったりしますので、そのあたりでちょっと煮詰まっていたりします。

>ていうかスレッド一覧表示が形骸化したりしてマジでウザすぎるので何とかしてほしいですが【謎無】。

更新がなさそうなのに真・もののけ日記ブラウザーであがってくるのが気になるので何とかしてほしいと思いました。

spam書き込みするのなら名前のところはそのまま表示されるからそこにURLを入れておけばとか思いました(謎)。

>というのは今来てるspamって、他にも来襲してるんですが（当然）わざわざ鳩丸掲示板対応に変異してこないって思うのですよ。串切り替えタイプみたいだから。面倒だし、業者にしてみると。

うちの場合【何処】、URLばかり多数含む投稿を弾くようにしてみたらちゃんと【謎】個数を見切った投稿に変化していました。つまりその程度の変異はスクリプトに織り込み済みのようです。

試行錯誤の結果ようやく弾けるようになったみたいですが、URL入りのまともな投稿まで弾かないか微妙に心配なくらいにしないと効果が出ませんでした。

ていうかスレッド一覧表示が形骸化したりしてマジでウザすぎるので何とかしてほしいですが【謎無】。

最近こちらに出没しているspamなのですが、なんとなくですけどbotというよりも多数のプロクシを切り替えながら経由でなんかされちゃっているっぽいのですが。　IPもらったらport80で逆アクセスして串っぽかったらハネちゃうってのは駄目ですか？そうですか…port80とも限らないですけど。

それとですね。　15個ほどのごくごく簡単な謎々を用意してですね、投稿する際に答えをひらがなで入れるってのはどうでしょう？　「いぬ」とか「さる」とか。

というのは今来てるspamって、他にも来襲してるんですが（当然）わざわざ鳩丸掲示板対応に変異してこないって思うのですよ。串切り替えタイプみたいだから。面倒だし、業者にしてみると。

>とか豪語【謎】していても、実はRFC 3986が発行されるまではk16さん【誰】の妄想でした【謎】という前例もあるので、メーってみても損はしないのでは。

最近は(実は昔から)人様の指摘はほとんど鵜呑みにしてます

Skypeなんて話題も振られていて、腰が重いです

>とか豪語【謎】していても、実はRFC 3986が発行されるまではk16さん【誰】の妄想でした【謎】という前例もあるので、メーってみても損はしないのでは。

というわけでメールしてみました。もう修正されています。ISO-HTMLではそういう仕様だったそうですね。

>ってここに書くのは、メールする自信がいまいちもてないので……。全てのエラーには出典があるそうですし。

とか豪語【謎】していても、実はRFC 3986が発行されるまではk16さん【誰】の妄想でした【謎】という前例もあるので、メーってみても損はしないのでは。

ちなみにXHTML1.0と1.1の両方で警告されました。HTMLの時代にname属性が必須だった頃があるのかなぁと想像したりもするのですが、詳しくは調べていません。

>ところでDOCTYPE宣言はなんだったのですか？

>移行の為に【謎】name属性とid属性とを両方書いたほうが望ましい場合もあったりするのかなぁと思ったものですから。

すみません、はずしました。 m(_ _)m

忘れてください。

ところでDOCTYPE宣言はなんだったのですか？

移行の為に【謎】name属性とid属性とを両方書いたほうが望ましい場合もあったりするのかなぁと思ったものですから。

>6: line XX: <input type="text"> には name 属性が必要です。 → 解説 86 <http://openlab.ring.gr.jp/k16/htmllint/explain.html#required-attribute>

重要度6ということは"文法的に間違っているもの"として扱われているのだと思いますが、本家(何処)のvalidatorではValid XHTML!と言われました。name属性がないとform部品のvalueが送信されないというのはわかりますが、JavaScriptで値を取得したり表示するだけなら、name属性よりむしろid属性を使うのが筋だと思うんですが。

ってここに書くのは、メールする自信がいまいちもてないので……。全てのエラーには出典があるそうですし。

ボイスレコーダー、渡しておくの忘れました…

何で皆さん、BDPlayerの値段上限設定が発生した、という読み方をしないのかが謎です。

単体BDPlayerでPS3以上の値段をつけるわけには行かないだろうから、体力的に可能なメーカー以外は撤退せざるを得なくなりそうな予感。