アカウント名:
パスワード:
画面ようこそID:sradさん
HTMLソースようこそID:sradさん
のような感じ?なんでしょうか??デバッグ時もメールアドレスなりをソースへ出力する必要性がわかりませんが・・
メールアドレスをキーとして何かしらの情報取得をやってたんじゃないですかねで、console.log()感覚でHTMLソースにデバッグ出力してたのを消し忘れ
attributeあたりに埋め込んでたらソースじゃないと見えないしね。あとソースには表れないがAPI叩いたときのJSONのレスポンスを開発ツールで覗くと、アカンものが含まれてそうで怖い。# 自戒を込めて…。明日は我が身。
その画面に関連するユーザ情報や本棚情報をJSON形式で埋め込んでおいて、クライアントサイドでDOM(HTML)生成や次ページの取得とDOM生成する形式はワリとよくある。
問題はサーバ側でそのユーザ情報を埋め込む際に、DBから引っ張ってきたデータをそのまま埋めてしまったような場合。酷いと生パスワードまで出力しかねないミス。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
同じ.jsでも使ってる? (スコア:0)
画面
ようこそID:sradさん
HTMLソース
ようこそID:sradさん
のような感じ?なんでしょうか??
デバッグ時もメールアドレスなりをソースへ出力する必要性がわかりませんが・・
Re: (スコア:0)
メールアドレスをキーとして何かしらの情報取得をやってたんじゃないですかね
で、console.log()感覚でHTMLソースにデバッグ出力してたのを消し忘れ
Re: (スコア:0)
attributeあたりに埋め込んでたらソースじゃないと見えないしね。
あとソースには表れないがAPI叩いたときのJSONのレスポンスを開発ツールで覗くと、アカンものが含まれてそうで怖い。
# 自戒を込めて…。明日は我が身。
Re: (スコア:0)
その画面に関連するユーザ情報や本棚情報をJSON形式で埋め込んでおいて、
クライアントサイドでDOM(HTML)生成や次ページの取得とDOM生成する形式はワリとよくある。
問題はサーバ側でそのユーザ情報を埋め込む際に、
DBから引っ張ってきたデータをそのまま埋めてしまったような場合。
酷いと生パスワードまで出力しかねないミス。