SQL инъекции, подделка межсайтовых запросов, поврежденный XML… Страшные, страшные вещи, от которых мы все бы хотели защититься, да вот только знать бы почему это все происходит. Эта статья объясняет фундаментальное понятие, стоящее за всем этим: строки и обработка строк внутри строк. Читать полностью »
Рубрика «XML» - 12
Великое экранирование (или что нужно знать для работы с текстом в тексте)
2013-06-06 в 18:46, admin, рубрики: html, php, sql, XML, xss, атака, все равно никто не читает метки, Программирование, экранированиеWebMarkupMin HTML Minifier – современный HTML-минимизатор для платформы .NET
2013-04-26 в 10:48, admin, рубрики: .net, ASP.NET, asp.net mvc, ASP.NET Web Pages, html, xhtml, XML, Клиентская оптимизация, минимизация, метки: .net, ASP.NET, asp.net mvc, ASP.NET Web Pages, html, xhtml, XML, клиентская оптимизация, минимизация
В начале 2012 года я работал над серией статей о клиентской оптимизации в ASP.NET MVC для журнала MSDeveloper.RU. Всего было опубликовано 2 статьи: «Сжатие JS- и CSS-файлов» и «Менеджеры ресурсов», но в моих планах было написать еще 2 статьи: одну про оптимизацию графики, а вторую про минимизацию HTML-разметки и GZIP/Deflate-сжатие (далее просто HTTP-сжатие). К сожалению, эти планы не удалось воплотить в жизнь из-за нехватки свободного времени (в тот момент, я запускал проект Bundle Transformer) и последовавшего закрытия журнала.
Но недавно я решил вернуться к теме оптимизации HTML-разметки. После небольшого исследования я понял, что под .NET практически не существует полноценных HTML-минимизаторов. Все существующие .NET-решения производят лишь 2 операции: удаление ненужных пробельных символов и удаление HTML-комментариев, из-за чего они очень сильно проигрывают решениям с других платформ. Поэтому я решил написать собственный HTML-минимизатор для .NET, о котором и пойдет речь в данной статье.
Эволюция HTML-минимизаторов
Прежде чем приступить к описанию своего проекта, я хотел бы немного рассказать о почти 15-летней истории HTML-минимизации и эволюции программный средств, автоматизирующих данный процесс.
Вопреки расхожему мнению, техники минимизации HTML-кода появились намного раньше, чем аналогичные техники для JavaScript. Уже в конце 1998 года Артемий Лебедев в 17-м параграфе ководства «Паранойя оптимизатора» описывал некоторые техники минимизации HTML-кода.
Читать полностью »
AAML: Простейший язык разметки для Android
2013-04-03 в 6:33, admin, рубрики: android, markup, XML, Разработка под android, метки: android, markup, XMLВозможно вы сочтете это глупостью, но я не люблю IDE. Обычно всю работу проделываю в vim+tmux+терминал. Я признаю все преимущества IDE, просто мне удобнее в хорошем текстовом редакторе. Но речь не об этом.
Когда я пишу что-нибудь под андроид — я часто правлю XML (разметку, стили, строки, ...). Так вот в текстовом редакторе это делать не очень удобно. И я решил потратить пару часов и написать генератор XML на основе упрощенного языка разметки (типа lesscss или stylus для CSS). Все-таки NIH — очень уж соблазнительный стимул.Читать полностью »
Использование dynamic для быстрого создания Xml
2013-04-02 в 6:19, admin, рубрики: .net, .net 4.0, XML, метки: .net 4.0, c++ Не так давно разрабатывал функционал, формирующий по некоторому алгоритму разнообразный xml.
Логично, что при написании первого же теста возник традиционный вопрос ленивого программиста: как сэкономить себе силы, а читающим тесты нервы и быстро и наглядно представить, что же я хочу получить?
Поэтому придумал такой вот способ:
Читать полностью »
API ВКонтакте и XDocument для самых маленьких
2013-03-19 в 11:20, admin, рубрики: .net, api vkontakte, linqtoxml, XML, Вконтакте API, Песочница, метки: .net, api vkontakte, c++, linqtoxml, XMLДоброе время суток.
Я хочу еще раз поговорить о простейших способах работы с API ВКонтакте и очень надеюсь, что эта статья может стать отправной точкой для начинающих разработчиков. Мы будем работать с довольно разнообразным методом messages.getHistory, а с помощью XDocument получать фотографию. Всех, кто научился проходить авторизацию и хочет опробовать работу с API, прошу под кат.
Читать полностью »
Использование XSLT для предотвращения XSS путем фильтрации пользовательского контента
2013-03-14 в 2:07, admin, рубрики: XML, xslt, xss, фильтрация данных, метки: XML, xslt, xss, фильтрация данныхФормулировка проблемы
Думаю никому из веб-разработчиков не нужно объяснять что такое XSS и чем он опасен. Но в то же время, многие сайты, такие как форумы, блоги, социальные сети и т.п., стремятся предоставить пользователю возможность вставлять на страницу свой контент. Для удобства неискушенных пользователей изобретаются WYSIWYG-редакторы, делающие процесс добавления красивого комментария легким и приятным. Но за всем этим фасадом скрывается угроза безопасности. Фактически любой WYSIWYG-редактор отправляет на сервер не просто текст комментария, он отправляет HTML-код. И даже если сам редактор не предусматривает использования опасных HTML-тегов (например <iframe>), то злоумышленника это не остановит — он может послать на сервер произвольный HTML-текст, который может представлять опастность для других посетителей сайта. Я думаю мало кому понравится получить в свой браузер что-то наподобие:
<script type="text/javascript">window.location="http://hardcoresex.com/";</script>
Таким образом, возникает проблема: полученный от пользователя HTML-код необходимо фильтровать. Но что значить «фильтровать»? Каким должен быть алгоритм фильтрации, чтобы не создавать необоснованных ограничений легальным пользователям, но в то же время сделать невозможной XSS-атаку со стороны злоумышленника? Увы, но HTML достаточно сложен, написать хороший парсер достаточно непросто, а любая ошибка в нем может привести к тому, что у злоумышленника появится лазейка через которую он сможет нанести удар.
Читать полностью »
Обмен 1С c клиентом на C# используя веб-сервисы 1С
2013-03-10 в 15:23, admin, рубрики: .net 4.0, 1С, 1с предприятие 8, ERP-системы, soap, visual studio 2010, wsdl, XML, клиент-сервер, метки: .net 4.0, 1с, 1с предприятие 8, c++, soap, visual studio 2010, wsdl, XML, клиент-серверДля моего предыдущего проекта было необходимо использование веб-сервисов 1С, мы строили систему автоматизации склада, и терминалы сбора данных напрямую подключаются к 1С, сами клиенты разработаны на .NET. Получилась очень интересная структура. Полученную информацию о настройках 1С в режиме работы веб-сервиса а так же написание простенькой конфигурации и клиента на C# в виде tutorial лабораторной работы, которую затем успешно презентовал в институте.
Лабораторная работа получила немного замысловатое название:
Организация обмена информацией между клиент-серверным разноплатформенным решением, используя Web-Сервисы в примере источника, разработанного на платформе 1С: Предприятие 8.2 и клиента на платформе .NET 4.0 языке C#
Всем, кто заинтересовался, прошу под кат.
Читать полностью »
Самый быстрый SAX-парсер для python
2013-03-03 в 19:06, admin, рубрики: python, sax, XML, метки: python, sax, XMLВнезапно захотелось пересчитать все xml-теги в 240 тысячах xml-файлов общим весом 180 GB. Питоном — и побыстрее.Читать полностью »
NoSQL СУБД MarkLogic — краткий обзор
2013-02-25 в 8:42, admin, рубрики: nosql, XML, xquery, СУБД, метки: nosql, XML, xquery, СУБДЦель данной статьи — познакомить читателей хабра с NoSQL-СУБД MarkLogic (ML). Беглый поиск показывает, что в среде русскоговорящих айтишников она малоизвестна. Данным обзором я попытаюсь исправить эту ситуацию.
Как сделать бомбу из XML
2013-02-22 в 18:20, admin, рубрики: XML, информационная безопасность, уязвимость, метки: XML, уязвимостьВ рассылке oss-security было опубликовано обсуждение различных уязвимостей, связанных с разбором XML. Уязвимостям подвержены приложения, которые разрешают библиотекам обрабатывать именованные и внешние сущности в DTD, встроенном в XML-документ, полученный из недоверенного источника. Т.е. по сути — приложения, не изменяющие настроек парсера по умолчанию.
Примеры XML-бомб под катом. Если у вас есть приложения, обрабатывающие XML, вы можете самостоятельно проверить их на предмет наличия уязвимостей. Проверка бомб в этом посте производится на примере утилиты xmllint, входящей в комплект поставки библиотеки libxml2, но можно использовать и другие синтаксические анализаторы.