Almost browsers prevent to XSS that is using javascript: protocol.
<a href=javascript:alert(location.origin) traget=_blank>XSS</a>Demo: https://nuvjcp.csb.app/
azu azu
azu
/ javascript-protocol-XSS.md
Last active
August 25, 2025 21:15
<a href=javascript:alert(1) traget=_blank>XSS</a> behavior in modern browser.
azu
/ Pre-hijacking Attacks.md
Last active
October 19, 2024 05:41
Pre-hijacking Attacksのメモ書きやSSO/パスワードリセット/アカウントマージ周りのチェックリスト
Pre-hijacking Attacksについてのメモ書きです。 元の論文と記事は次のページを読んでください。
- [2205.10174] Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web
- New Research Paper: Pre-hijacking Attacks on Web User Accounts – Microsoft Security Response Center
Pre-hijacking Attacks はメールアドレスの確認をしないでアカウントを作れるサービスという前提があります。
アカウント作成からそのまま機能を利用できるようにすることで、利用体験をよくするための施策として、メールアドレスの確認のステップを後回し またはしないサービスがあります。
https://developers.cloudflare.com/r2/platform/pricing/
up to 10,000,000 read operations + $0.36 per 1,000,000 operations
$3.60 free
up to 1,000,000 write operations + $4.50 per 1,000,000 operations
hoge.example.com でユーザが作成したサイトをホスティングして、任意のJavaScriptを実行できる状態にしたいケース。
サブドメインを分けることで、Fetch APIなどはSame Origin Policyを基本にするため、別のサブドメインや example.com に対するリクエストなどはできなくなる。
一方で、CookieはSame Origin Policyではない。
デフォルトでは、hoge.example.com から example.com に対するCookieが設定できる。
これを利用したDoS(Cookie Bomb)やこの挙動を組み合わせた別の脆弱性に利用できる場合がある。
Jaid
/ migratingRules.md
Last active
August 9, 2025 10:26
ESLint rules for migrating projects from CommonJS to ESM
The ESM standard is considered stable in NodeJS and well supported by a lot of modern JavaScript tools.
ESLint does a good job validating and fixing ESM code (as long as you don't use top-level await, coming in ESLint v8). Make sure to enable the latest ECMA features in the ESLint config.
- .eslint.json
{
azu
/ get-domain.js
Last active
June 24, 2021 03:09
Get domain(site) from url using document.cookie hacking. without public suffix
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| const isSite = (domain) => { | |
| console.log(domain) | |
| const key = "WILL_BE_FIRED." + 'xxxx-xxxx-xxx-xxxx'.replace(/[x]/g, (c) => { | |
| const r = Math.floor(Math.random() * 16); | |
| return r.toString(16); | |
| }); | |
| document.cookie = `${key}=1; domain=${domain}; samesite`; | |
| // Test wrinting | |
| console.log("document.cookie", document.cookie) | |
| const canWrite = document.cookie.includes(`${key}=1`); |
📝 早く読むために、翻訳の精度よりも早いレスポンスやインライン翻訳を優先している。
- FilipePS/Traduzir-paginas-web: Translate your page in real time using Google or Yandex.
- Firefox用. Chromeは誰かが書いてくれる
- InlineなGoogle/Yandex翻訳のブラウザ拡張
- 選択テキストをDeepLのサイトで翻訳する機能もある
Use https://github.com/jfarley248/iTunes_Backup_Reader
git clone https://github.com/jfarley248/iTunes_Backup_Reader
cd iTunes_Backup_Reader
# apply https://github.com/jfarley248/iTunes_Backup_Reader/pull/12
gh pr checkout https://github.com/jfarley248/iTunes_Backup_Reader/pull/12
azu
/ ua-client-hints.md
Last active
July 13, 2021 07:33
User Agent client hintsのJavaScript APIとHTTP Header
User Agent client hintsのJavaScript APIとHTTP Headerについてのメモ
Tested: Chrome Canary 86.0.4231.0
- Demo: https://client-hint-different-origin.glitch.me/
- Allow Cross Origin version via
Feature-PolicyHTTP Header
- Allow Cross Origin version via
- https://client-hint-different-origin.glitch.me/allow-cross-origin/?uach=UA-Arch&uach=UA-Full-Version&uach=UA-Mobile&uach=UA-Model&uach=UA-Platform-Version&uach=UA-Platform&uach=UA
azu
/ Google: remove hidden text.user.js
Last active
July 29, 2020 10:29
検索結果でテキストをコピーすると入る"ウェブ検索結果" and "検索結果"を削除する