加油,快能用上archLinux arm gnome了
为虾米要拿 archLinux arm gnome 干M1,macos不好么
rpc
不知道
Google 用好多 他們的 app 都是 protobuf
為什麼不能像 call 一般ㄉ System API 一樣
就 好處只有防 SQLi 的話
prepared stmt 不就解ㄌ
你是要運營躲在 Server 後面幫他打 SQL ㄇ
你一台電腦只開一個帳號給大家用然後抱怨所有人都能摸到別人的資料
SQL 要照你那樣弄的話是要把
select 還是 update 換成一個 int 嗎
就 不同資料庫實作會有不同的 extension 欸
你這樣還要額外維護一個 binary format
debug 感覺也不容易
要多東西也不知道會不會相容
幹嘛不字串就好
某學店上機軟體就是每個學生登入不同的 SQL 帳號
為什麼 Server 不能直接傳 DOMTree 過去
會有相容性的問題
JS 因為「不想弄壞網路」才不能改掉一堆笨特性
HTML 本身就是一個表示 DOM Tree 的文件ㄟ
Android apk 裡面的 XML 就是 binary 格式 ayy
例如你有一個 CSS 寫 .hi { 一些規則 }
你 parse 的時候每一個符合的都要加上這些規則
好啦反正我的意思是傳 HTML 所代表的那份 Tree
你要用 JSON 也沒人說不行 只是當年流行的是 XML
你不覺得把網路上的 Binary 直接送到記憶體裡面拿來用
聽起來 koru 的意思是
直接傳 AST 避免 XSS 跟額外 parser ?
把風險從眾多網頁撰寫者轉移到 Browser 撰寫者上
你改用 binary 傳輸也解決不了所有的 XSS 問題
產生 AST 前驗證過文法跟語義
下一階段就是 codegen
中間出事會不知道生出什麼鬼東東欸
他只是 DATA 的話那不就是另一種 XML 另一種 JSON ㄇ
<div> hello world </div>
你要寫成
[{tag: "div", content: "hello world"}] 也可以R
應該是不不需要,但接收網頁 AST 經過渲染器渲染這段可以出事ㄅ
binary 文法一樣會被 binary payload 的 XSS 打啊
產生結果的程式寫好就不容易ㄅ
產生 binary 形式的跟產生字串的比
前者可能比較容易寫好?
我覺得網頁如果要自己產剖析的資料 就有機會 XSS 誒
任何正常的 HTML Parser 也不應該被 XSS
其實我還是沒很懂要 binary payload 怎麼 XSS
parser 負責代表拿到的 JSON 就是有問題的
容易有問題是因為字串串接
→不字串串接就不容易有問題
弄成類似parameterized statement 那種的感覺
現代的 HTML:
<div id="app"></div>
類似,不過這是指 Server 或瀏覽器在 render 參數進動態內容的時候
如果 HTML 的設計讓 XSS 容易發生
這樣不是 html 的問題ㄛ
一樣的道理ㄚ
字串也是種 binary,我用 0x27 閉合前一個 0x27
因為XSS是JS問題你今天DOM XSS也會觸發那干html什麼關係,html又不是重點
不知道我沒很清楚人家怎麼實作,但可以用寫好長度之類的方式ㄅ
0x27 開
然後接一個 tag name reference
ㄟ我覺得這是另外一個笨點,為什麼到瀏覽器之後更改內容還要去處理 HTML
XSS 是 JS 問題
你改 HTML 只是枝尾末節ㄅ
可以,不過這樣只是避免閉合而已,我還是能插新元素進去
不是啊幹
DOM XSS 之所以可行就是因為你在裡面插了新的 HTML 喔
那個是因為 JS expose 的 API 的問題阿
你用 innerHTML 插進去人家要 parse
你用 textContent 或是 innerText
DOM XSS 是因為使用者碰到了他不應該碰到的 API
除了那種最基本的寫 <script> 上去就會動的那種沒 escape 的
明明可以在 browser 處理的事情為什麼要丟給網頁開發者
照你這樣說只要網頁開發者能處理的漏洞,browser 就不需要處理
重點就是 innerHTML 這東西根本不該存在啊
例如他也
button.onclick = () => showResult.innerHTML = userInput.value
它是我看到最多歷史包袱的後端語言,可4他還是活的好好的
我看下來你的主張是
innerHTML 才會造成 XSS
innerHTML 跟格式沒什麼關係
→XSS 跟格式沒什麼關係
??前提錯誤了吧
就,照你這樣說根本不該在網路上傳 binary 啊
因為問題是使用者之後發了莎小 不是一開始送給你的東西是沙小
HTML 跟 XSS 有關只是因為要配合他的格式寫 payload 而以ㄅ
你開心的話你用 C 寫後端一樣可以寫出 UAF ㄅ
不管哪種格式 你只要能碰到危險的 API 就可以被 XSS
你說的 DOM XSS 到底是什麼,到底有什麼不需要用 HTML
DOM-based XSS 是因為 JS 拿怪資料塞進可怕 API 之類的造成的ㄅ
HTML 只是 payload 需要構造的格式而已
如果 HTML 改 json 所以 json 就變成問題?
... modifying the DOM “environment” in the victim’s browser used by the original client side script
original client side script = JS
@hahabox0 不然這樣
你解釋一次 DOM XSS 的原理
我跟你解釋哪裡跟 HTML 有關
喔,大概懂你想說什麼,不過應該是在回伺服器串接那個部分
這種的假設你用 JSON
Payload 換用我那種寫法一樣會成功ㄅ
client 端不要用會把輸入當成 raw HTML 的函數對 DOM 進行操作?
什麼跟 HTML 沒關係
所有的 XSS 還是你指定的那種
那個的問題在 innerHTML innerJSON 是危險 API
client 用 innerHTML 叫做 client xss
我以為你假設 JSON 是 Server Side 生的
我那個重點不在 Client/Server
重點在我想表達的是 Payload 格式可以配合
你現在用在 Server XSS 的 Payload 換個格式一樣可以用在 JSON
然後我把 AST 抽離,然後有人留言的時候就編輯 AST ,然後剛好這段可以透過外部輸入控制?
好奇問個
siri會吃朗讀功能播出來的聲音當input嗎
話說那些現代 js 框架
就是在做類似的事情ㄚ
把開發者寫的東東 compile 成類似 AST (但完全不是)的東西
有問題的一直都不是 JS 或其他程式語言,有問題的應該是堅守己見直指思考的腦
像是 DOM Clobbering XSS 其實也算是技術(spec)債ㄌㄋ
我們一直強調XSS是JS的問題html只是改善一部分垃圾
他們都有time machine了時光隧道沒什麼稀奇的拉
Ta不是那个只会炒作,却一点技术含量也没有的人 🤔
沒 他為了要你可以找他才特別設定 username 的
这种我都是直接拉去我的spam bot,spam到他们闭嘴,自动block我