新生鳩丸掲示板♯

テンプレートに使っているところがあるかは知りませんが、E4Xはそんな感じですね。式を埋め込む際、その値がXML/XMLListオブジェクトならマークアップとして、そうでなければエスケープされるべきテキストとして扱われます。

<x>{ "<y/>" }</x> // => <x>&lt;y/&gt;</x>

<x>{ <y/> }</x> // => <x><y/></x>

きらといいますぅ～！

ぜひ友達になってくださぃ～！！！

PHPならPHPTALとかどうでしょう。

私は触った事無いんですが。

>個人的には、2種類のデータがどちらも同じ string 型なのがややこしさの元なのではないか

あーなるほど。記事を見てちょっとだけ目から鱗です。

確かに最初から違う型にしておいたほうが楽かもですね。

>「すまぶらてん」なのか「すまぶらえっくす」なのかで悩んでいるのかと思いました【謎】。

　スマブラは 10作も出てないです……。orz

「すまぶらてん」なのか「すまぶらえっくす」なのかで悩んでいるのかと思いました【謎】。

いっしょにダウンロ－ドしたいな－

>kconv は中身の nkf が U+301C と U+FF5E の正規化を行ったりするので、このような用途だと望ましくないです。

　あ、なるほど、それは気づきませんでした……。

　ありがとうございます。

>ていうか、元が UTF-8 なら unpack の U* を使えばはやいでしょう。

　0xFFFF 以上の文字をサロゲートペアに変換する処理が必要なのですが、それが面倒でして。

　割とすぐ書けそうな気もするのですが、Ruby にもサロゲートにも慣れていないもので、あまり考えずに UTF-16 に変換したかったという……。

kconv は中身の nkf が U+301C と U+FF5E の正規化を行ったりするので、このような用途だと望ましくないです。

ていうか、元が UTF-8 なら unpack の U* を使えばはやいでしょう。

>リファレンスちゃんと読んでいれば、自然と\A～\z使えばいいということに気づく(^～$ではいけないと気づく)……と思うのは私だけ？

　まあそうなのですが、他の言語の正規表現に慣れているとヤバイというか、実際それではまった例を見ましたので。

>SO905iのブラウザではscript要素の中はそのまま描画してくれました。

　ぐはー。携帯は script要素知らないですか……。

>スクリプトが実行されたりすることはないと思います。

>任意の文字列を入力できなければならないという要件なのに「--」を入力できないので仕様を満たしていないという点は困るかもしれませんが、少なくともこの点に関しては危険ではないはずです。

　ああ、なるほど。「危険」という表現に語弊があったかもしれないですね。

　ユーザーが「--」を入力したときにちゃんと動作しない危険性があるので NG という意味です。

　というわけで表現を微修正してみました。

メタルドット生まれない。。。、、、、、・・・・・・・・・・

リファレンスちゃんと読んでいれば、自然と\A～\z使えばいいということに気づく(^～$ではいけないと気づく)……と思うのは私だけ？

# もちろん私は\A～\z使ってました。

>>・XHTMLとして「正しく」解釈された場合

>>の意味がよくわかりません。XHTML(=XML)のコメント中では--は出現禁止(出現すると整形式ではなくなる)じゃありませんでしたっけ。

>　です。

>　なので、その禁止物がインジェクションされると困るという話です。

整形式制約違反は致命的エラーで、

http://www.w3.org/TR/xml/#dt-wfc

致命的エラーの場合XMLプロセッサは通常の処理を続けてはならないので、

http://www.w3.org/TR/xml/#dt-fatal

スクリプトが実行されたりすることはないと思います。

任意の文字列を入力できなければならないという要件なのに「--」を入力できないので仕様を満たしていないという点は困るかもしれませんが、少なくともこの点に関しては危険ではないはずです。

パーサが正しくないなら話は別ですが

> XHTML として「正しく」解釈された場合

とわざわざ断っているので余計に意味がわかりません。

SO905iのブラウザではscript要素の中はそのまま描画してくれました。

表題は「JavaScript のリテラルに任意の文字列を出力してみる」ということですので、以下、私が書くことはハズしているのですが・・・「リテラルに」という部分で。

こんな感じのHTML 断片があったとします。

<script type="text/javascript">

<!--

<%= value %>; //※注.foo.bar=がないです。

//-->

</script>

「ユニコードエスケープ」では、恐らく任意のスクリプトの実行が可能なのではないかと存じます。というか、手元のFirefox ver 1.508 では・・・で確認したのですが。

たとえば、

I am the Α and the Ω.

という文章をalertすることは可能でした。この調子で好きな文字を作っておいてevalしてしまえばなんていうことないですよね。たぶん。

>・XHTMLとして「正しく」解釈された場合

>の意味がよくわかりません。XHTML(=XML)のコメント中では--は出現禁止(出現すると整形式ではなくなる)じゃありませんでしたっけ。

　です。

　なので、その禁止物がインジェクションされると困るという話です。

・XHTMLとして「正しく」解釈された場合

の意味がよくわかりません。XHTML(=XML)のコメント中では--は出現禁止(出現すると整形式ではなくなる)じゃありませんでしたっけ。

http://www.w3.org/TR/xml/#sec-comments

ところで【謎】、HTML5のドラフトが出たようなのでレビュー期待しています【謎】。

はじめまして。よろしくお願いします。

>フラスコスってどうやって手に入れるんですか？

たしかヘルマンさんの部屋（バクテリアンラボ）で採れたと思います。

質問なんですが、やっぱりキンオブゴッドってかなり作りにくいものですか？