2012/01/18 水

  • 晴れ
  • 1100

  • SBM 用の埋め込みコードでの a#href から,各種 share ボタン用の data-* 属性へと起点が移り始めている印象

    • API の URL にクエリとして渡すとき encodeURIComponent するのはなんとなく理解されてるんだろうけど
    • innerHTML と document.write に渡すときに HTML としてエスケープする,というかしないと目的が達成できずに xss されるってのがそれほど理解されてない気がする
    • setAttribute() ならそのまま DOM 上の文字列にできるけども,innerHTML と document.write は HTML 文書上の文字列にしかならなくて DOM への変換が入るっていうのが意識にない