今年、私はNoam Rosenthalと協力して、新しいWebプラットフォーム機能の標準化である画像のサイズと解像度を動的に調整しました。成功!しかし、旅は急な学習曲線でした。
ブラウザのフィードバックや予期せぬ技術的ハードルなどの課題を予想していましたが、Webセキュリティとプライバシーの原則への影響を過小評価していました。これらの原則についての私の事前の理解は不十分でした。
私たちの目標は、画像のデフォルトの表示サイズを変更することでした。デフォルトでは、800x600の画像は800x600 CSSピクセルをレンダリングします。これは、デフォルトの密度が1倍の固有のサイズ(または自然サイズ)です。
CSSまたはHTMLを使用して高度、低密度、または可変密度の画像を提供するときに課題が生じました。これは、私の雇用主であるCloudinaryのような画像ホストの一般的なニーズです。
私たちの解決策:
- 画像リソース内でメタデータを読み取り、適用して、意図した表示サイズと解像度を宣言します。
- このメタデータに対するデフォルトのブラウザの尊重。CSS(
image-resolution)またはマークアップ(srcsetのx記述子)を介して過剰に配慮します。
これは健全に思えました - 柔軟で既存のパターンに基づいて構築されました。しかし、HTML SPECエディターのAnne Van Kesterenは、同性政策(SOP)の違反を引用して、それを拒否しました。画像の向きも再評価する必要がありました。 CSS/HTMLを介してExifメタデータ効果を切り替える機能は、SOPに違反しました。
SOPの最初の理解は、CORSエラーに限定されていました。今、それは主要なプロジェクトを妨げていました。私は学ばなければなりませんでした!
私の重要なテイクアウト:
- SOPは単一のルールではなく、CORSエラーだけでもありません。
- それは進化する哲学であり、一貫性のない哲学です。
- 中核の原則は、Webセキュリティとプライバシーの境界がOriginsによって定義されることです。共有起源は、無制限の相互作用を意味します。それ以外の場合、制限が適用されます。
- 多くのオリジン相互作用が許可されています。通常、Webサイトは、Origins(投稿要求)を越えて書き込み、クロスオリジンリソース(IFRAME、画像)を埋め込むことができます。ただし、JavaScriptでクロスオリジンリソースを読むには、明示的な許可(CORS)が必要です。
- 重要なことに、クロスオリジンの読み取りを防ぐと、ユーザーのプライバシーが保護されます。各ユーザーは、Cookieとローカルコンテキストの影響を受けたパーソナライズされたWebを見ます。ユーザーのブラウザを介してWebサイトが他のサイトからデータを読み取ることができるようにすることは、主要なセキュリティの欠陥です。
SOPは、主にオリジンの読み取りを防ぐことに関係しています。多くの場合、他のクロスオリジンアクションはデフォルトで許可されます。
画像サイズ/解像度の問題:
https://coolbank.com/hero.jpgを想像して、ユーザーログインステータスに基づいてさまざまなコンテンツを返します。ログインバージョンにはEXIF解像度の情報が含まれている場合がありますが、ログアウトバージョンは含まれていません。悪意のある俳優は、この画像を埋め込み、本質的なサイズ(Exifの有無にかかわらず)を確認し、ログインステータスを推測し、フィッシング攻撃を開始する可能性があります。
(CORSによる)ピクセルデータにアクセスしていない間、俳優はOriginsを超えて情報を獲得します - 違反。
私たちの解決策:クロスオリジンのコンテキストでは、exifの変更が常に適用され、情報を読み取れません。 Exif指定サイズの画像は、CSSオーバーライドに関係なく、そのサイズに応じて常にレンダリングされます。
SOPの理解により、他のWebセキュリティの概念が明らかになりました。
- クロスサイトリクエストフォーファリー(CSRF)は、クロスオリジンの書き込みのデフォルト手当を悪用します。
- コンテンツセキュリティポリシー(CSP)が許可された埋め込みを制御し、クロスサイトスクリプト(XSS)の脆弱性に対処します。
- COOP、Coep、Corp、およびCorbは、オリジン相互作用を排除し、SOPの実装における矛盾に対処し、Specterのような脆弱性を軽減することを目指しています。
要するに:
- Webセキュリティとプライバシーは、オリジンベースの相互作用制限に基づいて堅牢です。
- クロスオリジンの読み取りは、デフォルトではユーザーのプライバシーを保護するために禁止されています。
- SOP抜け穴は、どんなに小さくても、セキュリティリスクです。
私の2020年の経験は、SOPの重大な重要性と、厳しいWebセキュリティプラクティスの必要性を強調しました。より安全で安全な未来には、これらの原則を揺るぎない防御が必要です。
以上が私は同じオリジン政策を愛することを学びましたの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
Draggin'ドロップピン'反応でApr 17, 2025 am 11:52 AMReact Ecosystemは、すべてがドラッグアンドドロップの相互作用に焦点を合わせている多くのライブラリを提供します。 React-Dnd、React-Beautiful-Dnd、
バックグラウンドクリップ付きのネストされたグラデーションApr 17, 2025 am 11:47 AMバックグラウンドクリップをすべて頻繁に使用すると言うことができます。私は、日々のCSS作業ではほとんど使用されていない' dを賭けています。しかし、私はステファン・ジュディスの投稿でそれを思い出しました、
ReackAnimationFrameを使用してReact Hooksを使用しますApr 17, 2025 am 11:46 AMRequestAnimationFrameでアニメーション化するのは簡単なはずですが、Reactのドキュメントを徹底的に読んでいない場合は、おそらくいくつかのことに遭遇するでしょう
ページの上部にスクロールする必要がありますか?Apr 17, 2025 am 11:45 AMおそらく、それをユーザーに提供する最も簡単な方法は、要素上のIDをターゲットにするリンクです。だから...
Best(GraphQL)APIはあなたが書くものですApr 17, 2025 am 11:36 AM聞いてください、私はGraphQLの専門家ではありませんが、私はそれで働くことを楽しんでいます。フロントエンド開発者としてデータを公開する方法はかなりクールです。メニューのようなものです
毎週のプラットフォームニュース:テキスト間隔のブックマークレット、トップレベルの待望、新しいアンプロードインジケーターApr 17, 2025 am 11:26 AM今週のラウンドアップ、タイポグラフィを検査するための便利なブックマークレットである。
ボーダー半径を保存しながら箱を拡張するためのさまざまな方法Apr 17, 2025 am 11:19 AM私は最近、Codepenの興味深い変化に気づきました。ホームページにペンをホバリングすると、丸い角が背面に拡大する長方形があります。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
VSCode Windows 64 ビットのダウンロード
Microsoft によって発売された無料で強力な IDE エディター
メモ帳++7.3.1
使いやすく無料のコードエディター
MinGW - Minimalist GNU for Windows
このプロジェクトは osdn.net/projects/mingw に移行中です。引き続きそこでフォローしていただけます。 MinGW: GNU Compiler Collection (GCC) のネイティブ Windows ポートであり、ネイティブ Windows アプリケーションを構築するための自由に配布可能なインポート ライブラリとヘッダー ファイルであり、C99 機能をサポートする MSVC ランタイムの拡張機能が含まれています。すべての MinGW ソフトウェアは 64 ビット Windows プラットフォームで実行できます。
WebStorm Mac版
便利なJavaScript開発ツール
SublimeText3 Linux 新バージョン
SublimeText3 Linux 最新バージョン
