Upgrade to Pro — share decks privately, control downloads, hide ads and more …

History APIの魅力と危険性

Avatar for teamLab teamLab PRO
January 22, 2025
Programming
0
150

History APIの魅力と危険性

Avatar for teamLab

teamLab PRO

January 22, 2025
Tweet

More Decks by teamLab

See All by teamLab
大規模FlutterプロジェクトのCI実行時間を約8割削減した話
Avatar for teamLab teamlab
PRO
0
480
推論された型の移植性エラーTS2742に挑む
Avatar for teamLab teamlab
PRO
0
290
ぴよぴよFlutterエンジニアから見た 会社の楽しいところをありったけ
Avatar for teamLab teamlab
PRO
0
170
社内のFlutterテンプレートをリニューアルした話
Avatar for teamLab teamlab
PRO
0
130
"ほどよい自動化"はあなたの開発を豊かにする
Avatar for teamLab teamlab
PRO
0
160
半年開発してわかった自動テストの価値
Avatar for teamLab teamlab
PRO
0
100
レビュー経験ほぼ0だった自分が レビューで心掛けていること
Avatar for teamLab teamlab
PRO
0
120
Web関連の仕様書を読むモチベーション
Avatar for teamLab teamlab
PRO
0
110
[FlutterKaigi2024]ステートマシンで実現する高品質なFlutterアプリ開発
Avatar for teamLab teamlab
PRO
3
1.3k

Other Decks in Programming

See All in Programming
技術的負債で信頼性が限界だったWordPress運用をShifterで完全復活させた話
Avatar for adachi.ryo rvirus0817
1
1.8k
Google I/O Extended Incheon 2025 ~ What's new in Android development tools
Avatar for pluulove (노현석) pluu
1
290
A Gopher's Guide to Vibe Coding
Avatar for Daniela Petruzalek danicat
0
160
Go製CLIツールをnpmで配布するには
Avatar for syumai syumai
2
1.2k
20250808_AIAgent勉強会_ClaudeCodeデータ分析の実運用〜競馬を題材に回収率100%の先を目指すメソッドとは〜
Avatar for Kakeru Sato kkakeru
0
180
Claude Codeで実装以外の開発フロー、どこまで自動化できるか?失敗と成功
Avatar for ndaDayo.Sugawawa ndadayo
2
190
WebAssemblyインタプリタを書く ~Component Modelを添えて~
Avatar for ruccho ruccho
1
860
Flutter로 Gemini와 MCP를 활용한 Agentic App 만들기 - 박제창 2025 I/O Extended Seoul
Avatar for JaiChangPark itsmedreamwalker
0
140
React 使いじゃなくても知っておきたい教養としての React
Avatar for Yuka O’oka oukayuka
18
5.7k
書き捨てではなく継続開発可能なコードをAIコーディングエージェントで書くために意識していること
Avatar for ShuyaKinjo shuyakinjo
1
280
JetBrainsのAI機能の紹介 #jjug
Avatar for yusuke yusuke
0
200
サイトを作ったらNFCタグキーホルダーを爆速で作れ!
Avatar for Yuuki Shimizu yuukis
0
370

Featured

See All Featured
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
71
11k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
45
7.6k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
36
2.5k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
33
2.4k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
667
120k
It's Worth the Effort
Avatar for 3n 3n
186
28k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
351
21k
Building an army of robots
Avatar for Kyle Neath kneath
306
45k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
279
23k
Docker and Python
Avatar for Tania Allard trallard
45
3.5k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
525
40k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
53
8.8k

Transcript

  1. History APIの魅⼒と危険性 【学⽣向け勉強会】teamLab×DMM tech meetup ~frontend~ 志⽥洋⽃

  2. © teamLab Inc ‧24新卒 ‧パッケージチーム フロントエンド班 ‧モアイとルービックキューブが好きです 志⽥ 洋⽃ Shida

    Hiroto ⾃⼰紹介

  3. © teamLab Inc History APIって知っていますか?

  4. © teamLab Inc →「ブラウザ上の履歴操作が可能なAPI」 History API

  5. © teamLab Inc →「ブラウザ上の履歴操作が可能なAPI」 履歴の移動  history.back()  history.forward() History API 例:history.back()

  6. © teamLab Inc →「ブラウザ上の履歴操作が可能なAPI」 履歴の置き換え  history.replaceState() 履歴の追加  history.pushState() History API

    / /my / /moai 遷 移 順 どちらも遷移はせず、 履歴の編集とURLを書き換えるのみ / /my / /my /moai 遷 移 順

  7. © teamLab Inc 1. ReactなどのSPAのページ遷移  ‧遷移せずにURLを変更可能なため、   サーバーへのリクエストを抑えコンテンツ切替 Header my page

    Content M e n u /my History API いつ使われるのか サーバー History APIで 履歴&URL書き換え Header M e n u /moai 必要なものだけ サーバーから取 得

  8. © teamLab Inc 2. 途中離脱ダイアログ(フォーム⼊⼒中のブラウザバック防⽌)  ‧画⾯離脱時のイベント発⽕でよく使われるbeforeunloadイベント   →ios safariでは使えない & ダイアログのデザイン変更が不可

    History API いつ使われるのか Reactコード例

  9. © teamLab Inc 2. 途中離脱ダイアログ(フォーム⼊⼒中のブラウザバック防⽌)  ‧pushStateで⼀時的にブラウザバックをなかったことにする History API いつ使われるのか /

    /moai /form 遷 移 順 / /moai /form / /moai /form ブラウザバック history.pushState(null,“”, “/form”) ダイアログ 表⽰処理

  10. © teamLab Inc え、History APIって結構危険じゃない?

  11. © teamLab Inc え、History APIって結構危険じゃない? → そうです。結構危険です。

  12. © teamLab Inc ユーザが意図せぬ履歴を⽣成できるため、 理論上は以下のようなこともできてしまう...? ブラウザバックで ユーザが⽬的のページに戻れない 事案をどうにかしたい、、というissueも History APIって危険...?

    [1]

  13. © teamLab Inc chromium ‧ブラウザバック等でユーザ操作のないページをスキップ  (history.backは開発者が使うものなのでスキップしない) safari ‧クリックなどのユーザ操作に起因する場合のみ  history操作が正しく動作するような制限  (document的なソースは⾒つけられず...)

    現在は...様々な対策がされてます [2] [3]

  14. © teamLab Inc ブラウザの履歴を操作可能なHistory API ‧SPA、フォーム離脱などで便利に使える反⾯、  使⽤法を誤るとユーザビリティを下げる危険性も⼤ ブラウザで悪質な履歴操作等の対策がされてる まとめ

  15. © teamLab Inc ブラウザの履歴を操作可能なHistory API ‧SPA、フォーム離脱などで便利に使える反⾯、  使⽤法を誤るとユーザビリティを下げる危険性も⼤ ブラウザで悪質な履歴操作等の対策がされてる まとめ ブラウザ開発者や

    web標準を決める⼈たちってすごい

  16. ご清聴ありがとうございました 参考⽂献 [1] Github Issue「Annoying user experience on back navigation

    due to dummy fast-forwarding history entries」 https://github.com/WICG/interventions/issues/21 [2] Chromium Docs「History manipulation intervention in Chromium」 https://chromium.googlesource.com/chromium/src/+/refs/tags/128.0.6613.5/docs/history_manipulation_intervention.md [3] ブラウザの履歴を操作して「戻る」ボタンで広告を出すやつについて https://blog.maripo.org/2024/08/history-api-abuse/