azu azu

サブドメインをユーザーホスティングサイトに使うときのパターン

hoge.example.com でユーザが作成したサイトをホスティングして、任意のJavaScriptを実行できる状態にしたいケース。サブドメインを分けることで、Fetch APIなどはSame Origin Policyを基本にするため、別のサブドメインや example.com に対するリクエストなどはできなくなる。

一方で、CookieはSame Origin Policyではない。デフォルトでは、hoge.example.com から example.com に対するCookieが設定できる。これを利用したDoS(Cookie Bomb)やこの挙動を組み合わせた別の脆弱性に利用できる場合がある。

The Cookie Monster in Your Browsers - Speaker Deck

0209d85 Normative: add RegExp match indices, including RegExp d flag (#1713)
ca53334 Normative: Fix out-of-range NaNs in date set methods (#2136)
c37ac03 Normative: List new Unicode v14 Script/Script_Extensions values (#2515)
7c847e8 Normative: Arbitrary module namespace identifier names (#2154)
02bf300 Normative: add error cause (#2356)
01a6d27 Normative: require Number::exponentiate to return a Number value ([#2523](https://github.com/tc39/ecma262/issues/

目的

いつでも入力
いつでも見れる
とにかく早い、ストレスフリー
30分とか枠を用意してそこにメモを書くのが良さそう

なぜ

人の脳の容量はでかいが、記憶のスタックが小さい(疑似)

	// ==UserScript==
	// @name pinia: clean document
	// @namespace https://pinia.vuejs.org/
	// @match https://pinia.vuejs.org/*
	// @grant none
	// @version 1.0
	// @author -
	// @description Remove unreadable web fonts style
	// @run-at document-end
	// ==/UserScript==

	/* Ultra lightweight Github REST Client */
	// original inspiration via https://gist.github.com/v1vendi/75d5e5dad7a2d1ef3fcb48234e4528cb
	const token = 'github-token-here'
	const githubClient = generateAPI('https://api.github.com', {
	headers: {
	'User-Agent': 'xyz',
	'Authorization': `bearer ${token}`
	}
	})

	// ==UserScript==
	// @name irodr: komesan
	// @namespace github.com/azu
	// @match https://irodr.netlify.app/
	// @grant none
	// @version 1.0
	// @author azu
	// @description irodr integrate
	// @run-at document-end
	// ==/UserScript==

	"use strict";
	var __webpack_require__ = {
	d: (_, e) => {
	for (var r in e) __webpack_require__.o(e, r) && !__webpack_require__.o(_, r) && Object.defineProperty(_, r, {
	enumerable: !0,
	get: e[r]
	})
	}, o: (_, e) => Object.prototype.hasOwnProperty.call(_, e), r: _ => {
	"undefined" != typeof Symbol && Symbol.toStringTag && Object.defineProperty(_, Symbol.toStringTag, { value: "Module" }), Object.defineProperty(_, "__esModule", { value: !0 })
	}

	type HistoryState = unknown; /* state object */
	const useHistoryState = (defaultState: HistoryState) => {
	const STACK_SIZE_LIMIT = 20;
	const [currentState, setCurrentState] = useState<HistoryState>(defaultState);
	const [undoStack, setUndoStack] = useState<HistoryState[]>([]);
	const [redoStack, setRedoStack] = useState<HistoryState[]>([]);
	const canUndo = useMemo(() => undoStack.length > 0, [undoStack.length]);
	const canRedo = useMemo(() => redoStack.length > 0, [redoStack.length]);
	const pushState = useCallback((item: HistoryState) => {
	setCurrentState(item);

	// ==UserScript==
	// @name furusato-tax.jp: price * 0.2
	// @namespace furusato-tax.jpの表示金額に2割の表示を追加する
	// @match https://www.furusato-tax.jp/*
	// @grant none
	// @version 1.0
	// @author -
	// @description 2021/8/8 12:08:48
	// @run-at document-end
	// ==/UserScript==

	const isSite = (domain) => {
	console.log(domain)
	const key = "WILL_BE_FIRED." + 'xxxx-xxxx-xxx-xxxx'.replace(/[x]/g, (c) => {
	const r = Math.floor(Math.random() * 16);
	return r.toString(16);
	});
	document.cookie = `${key}=1; domain=${domain}; samesite`;
	// Test wrinting
	console.log("document.cookie", document.cookie)
	const canWrite = document.cookie.includes(`${key}=1`);