https://developers.cloudflare.com/r2/platform/pricing/
up to 10,000,000 read operations + $0.36 per 1,000,000 operations
$3.60 free
up to 1,000,000 write operations + $4.50 per 1,000,000 operations
azu azu
hoge.example.com でユーザが作成したサイトをホスティングして、任意のJavaScriptを実行できる状態にしたいケース。
サブドメインを分けることで、Fetch APIなどはSame Origin Policyを基本にするため、別のサブドメインや example.com に対するリクエストなどはできなくなる。
一方で、CookieはSame Origin Policyではない。
デフォルトでは、hoge.example.com から example.com に対するCookieが設定できる。
これを利用したDoS(Cookie Bomb)やこの挙動を組み合わせた別の脆弱性に利用できる場合がある。
Jaid
/ migratingRules.md
Last active
May 10, 2025 11:01
ESLint rules for migrating projects from CommonJS to ESM
The ESM standard is considered stable in NodeJS and well supported by a lot of modern JavaScript tools.
ESLint does a good job validating and fixing ESM code (as long as you don't use top-level await, coming in ESLint v8). Make sure to enable the latest ECMA features in the ESLint config.
- .eslint.json
{
azu
/ get-domain.js
Last active
June 24, 2021 03:09
Get domain(site) from url using document.cookie hacking. without public suffix
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| const isSite = (domain) => { | |
| console.log(domain) | |
| const key = "WILL_BE_FIRED." + 'xxxx-xxxx-xxx-xxxx'.replace(/[x]/g, (c) => { | |
| const r = Math.floor(Math.random() * 16); | |
| return r.toString(16); | |
| }); | |
| document.cookie = `${key}=1; domain=${domain}; samesite`; | |
| // Test wrinting | |
| console.log("document.cookie", document.cookie) | |
| const canWrite = document.cookie.includes(`${key}=1`); |
📝 早く読むために、翻訳の精度よりも早いレスポンスやインライン翻訳を優先している。
- FilipePS/Traduzir-paginas-web: Translate your page in real time using Google or Yandex.
- Firefox用. Chromeは誰かが書いてくれる
- InlineなGoogle/Yandex翻訳のブラウザ拡張
- 選択テキストをDeepLのサイトで翻訳する機能もある
Use https://github.com/jfarley248/iTunes_Backup_Reader
git clone https://github.com/jfarley248/iTunes_Backup_Reader
cd iTunes_Backup_Reader
# apply https://github.com/jfarley248/iTunes_Backup_Reader/pull/12
gh pr checkout https://github.com/jfarley248/iTunes_Backup_Reader/pull/12
azu
/ ua-client-hints.md
Last active
July 13, 2021 07:33
User Agent client hintsのJavaScript APIとHTTP Header
User Agent client hintsのJavaScript APIとHTTP Headerについてのメモ
Tested: Chrome Canary 86.0.4231.0
- Demo: https://client-hint-different-origin.glitch.me/
- Allow Cross Origin version via
Feature-PolicyHTTP Header
- Allow Cross Origin version via
- https://client-hint-different-origin.glitch.me/allow-cross-origin/?uach=UA-Arch&uach=UA-Full-Version&uach=UA-Mobile&uach=UA-Model&uach=UA-Platform-Version&uach=UA-Platform&uach=UA
azu
/ Google: remove hidden text.user.js
Last active
July 29, 2020 10:29
検索結果でテキストをコピーすると入る"ウェブ検索結果" and "検索結果"を削除する
Git 2.26.0以下*1には、細工したリポジトリをgit cloneしたときに、
そのユーザーのCredential(たとえばGitHub.comをcloneするときに使う認証情報)を奪い取れる脆弱性があります。
📝 取得できる認証情報は credential.helper の設定に依存する
既にPoC(検証するためのコード)もあり、結構簡単なので是非Gitを2.26.1以上にアップデートしましょう。 git submoduleを使うと見た目ではわかりにくい攻撃もできるので、「気をつける」では回避は難しいです。
ybiquitous
/ secretlint.yml
Last active
May 13, 2021 08:46
Secretlint out of the box via GitHub Actions
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| # https://github.com/secretlint/secretlint | |
| name: secretlint | |
| on: | |
| push: | |
| branches: ['main'] | |
| pull_request: | |
| branches: ['**'] | |
| jobs: |