hypweb.net
XOOPSマニア  最新情報のRSS(サイト全体)
[ 自宅サーバーWebRing |ID=54 前後5表示乱移動サイト一覧 ]

TOP » UsersWiki » nao-pon » blog » 2006-06-30

XSS クロスサイトスプリクティング anchor.png

JavaScript を使った動的なサイトページ作成方法の中に、Ajax を利用してサーバーと通信を行い、随時ページ内容を書き換える方法がありますが、ひとつ難点があります。閲覧中のページ同じドメインのサーバーからしかデータを受け取れないということです。

そこで、別ドメインのサーバーから随時データを受け取りたい場合は、<script>タグを動的に書き換えることで、それが可能になります。

そこで、面白いことを思いつきました。

YouTube NAVI という YouTube API を利用するサイトを運営中ですが、その検索タグをリアルタイムで表示できるような仕組みを考えてみました。

1

<script id="youtube_navi_js" src="http://youtube.navi-gate.org/js/tags.js" type="text/javascript" charset="UTF-8"></script>

任意のページにこのHTMLを貼り付けると、リアルタイムで検索タグが表示されます。

こんな感じです。現状は5秒ごとに内容が更新されます。 :)

html(): no argument(s).

もちろんローカルに置いたHTMLでもOKです。 :D

Page Top

仕掛け anchor.png

上記の HTML から呼び出される JavaScript tags.js は次のような感じです。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22

(function(){
	var elm;
	if (! (elm = document.getElementById('youtube_navi_tags')))
	{
		var scr = document.getElementById('youtube_navi_js');
		elm = document.createElement('span');
		elm.id = 'youtube_navi_tags';
		elm.className = 'youtube_navi_tags';
		scr.parentNode.insertBefore(elm,scr);
	}
	elm.innerHTML = "この部分にタグのHTMLが入ります";
	setTimeout(function(){
		var scr;
		if (scr = document.getElementById('youtube_navi_js')){scr.parentNode.removeChild(scr);}
		scr  = document.createElement('script');
		scr.id   = 'youtube_navi_js';
		scr.src  = 'http://youtube.navi-gate.org/js/tags.js';
		scr.setAttribute('type','text/javascript');
		scr.setAttribute('charset','UTF-8');
		document.body.insertBefore(scr,document.body.firstChild);
	},5000);
})();

変数汚染をしないように、無名関数に閉じ込めてあります。

  1. タグのHTMLを表示するコンテナ <span id="youtube_navi_tags"></span> がなければ この <script> の直前に作成
  2. id="youtube_navi_tags" の <span> の内容を書き換え。
  3. 5秒後に自分自身を書き換え

たったこれだけです。

肝心の tags.js は、PHP にて随時書き換えを行っています。

ただ、ブラウザが IE の場合は、タイムスタンプが変わってもキャッシュが有効のままで書き換わらないため、.htaccess に次のような記述をしてキャッシュコントロールを行っています。

1
2
3
4
5

<Files tags.js>
	Header add "Expires" "Thu, 01 Dec 1994 16:00:00 GMT"
	Header add "Pragma" "no-cache"
	Header add "Cache-Control" "no-cache"
</Files>

思いのほか、すっきりとできちゃいました。 :p

タグは100件保存しているので、100件表示バージョンも作ってみました。

1

<script id="youtube_navi_js100" src="http://youtube.navi-gate.org/js/tags100.js" type="text/javascript" charset="UTF-8"></script>

html(): no argument(s).


添付ファイル:
トップ   凍結 差分 バックアップ 複製 名前変更 リロード印刷に適した表示   ページ新規作成 全ページ一覧 単語検索 最新ページの一覧   ヘルプ   最新ページのRSS 1.0 最新ページのRSS 2.0 最新ページのRSS Atom Powered by xpWiki
ぺージ情報
ぺージ名 :nao-pon/blog/2006-06-30
ページ別名 :未設定
ページオーナー :nao-pon
閲覧可
グループ :すべての訪問者
ユーザー :すべての訪問者
編集可
グループ :なし
ユーザー :ゲスト
Counter: 327, today: 1, yesterday: 0
初版日時: 2006-06-30 (金) 09:04:57
最終更新: 2006-06-30 (金) 09:04:57 (JST) (6511d) by nao-pon

サイト管理者: nao-pon

このページのTopへ
メインメニュー
ログイン

ユーザー名:


パスワード:





パスワード紛失  |新規登録
最近の更新
最新の20件
2023-05-14 2023-03-22 2023-02-28 2023-01-20 2022-09-22 2022-08-26 2022-08-19 2022-01-17 2021-08-03 2021-07-01 2021-06-20 2021-06-15 2021-04-27 2021-03-17 2021-03-13 2021-02-23 2021-02-18 2021-02-15 2021-02-07
オンライン状況
713 人のユーザが現在オンラインです。 (5 人のユーザが UsersWiki を参照しています。)

登録ユーザ: 0
ゲスト: 713

もっと...
サイト情報
Web Services by Yahoo! JAPAN
楽天ウェブサービスセンター