Upgrade to Pro — share decks privately, control downloads, hide ads and more …

History APIの魅力と危険性

Avatar for teamLab teamLab PRO
January 22, 2025
Programming
0
120

History APIの魅力と危険性

Avatar for teamLab

teamLab PRO

January 22, 2025
Tweet

More Decks by teamLab

See All by teamLab
大規模FlutterプロジェクトのCI実行時間を約8割削減した話
Avatar for teamLab teamlab
PRO
0
290
推論された型の移植性エラーTS2742に挑む
Avatar for teamLab teamlab
PRO
0
270
ぴよぴよFlutterエンジニアから見た 会社の楽しいところをありったけ
Avatar for teamLab teamlab
PRO
0
150
社内のFlutterテンプレートをリニューアルした話
Avatar for teamLab teamlab
PRO
0
110
"ほどよい自動化"はあなたの開発を豊かにする
Avatar for teamLab teamlab
PRO
0
150
半年開発してわかった自動テストの価値
Avatar for teamLab teamlab
PRO
0
93
レビュー経験ほぼ0だった自分が レビューで心掛けていること
Avatar for teamLab teamlab
PRO
0
100
Web関連の仕様書を読むモチベーション
Avatar for teamLab teamlab
PRO
0
100
[FlutterKaigi2024]ステートマシンで実現する高品質なFlutterアプリ開発
Avatar for teamLab teamlab
PRO
3
1.3k

Other Decks in Programming

See All in Programming
Bedrock AgentCore ObservabilityによるAIエージェントの運用
Avatar for matsukada licux
8
470
DataformでPythonする / dataform-de-python
Avatar for snhryt snhryt
0
110
Quality Gates in the Age of Agentic Coding
Avatar for Hélio Medeiros helmedeiros
PRO
1
110
ご注文の差分はこちらですか? 〜 AWS CDK のいろいろな差分検出と安全なデプロイ
Avatar for Kenji Kono konokenj
4
720
Go製CLIツールをnpmで配布するには
Avatar for syumai syumai
1
920
GPUを計算資源として使おう!
Avatar for prime number primenumber
1
300
それ CLI フレームワークがなくてもできるよ / Building CLI Tools Without Frameworks
Avatar for Kuniwak orgachem
PRO
14
3.4k
CDK引数設計道場100本ノック
Avatar for kazuho cryer-shinozuka badmintoncryer
2
590
JetBrainsのAI機能の紹介 #jjug
Avatar for yusuke yusuke
0
160
202507_ADKで始めるエージェント開発の基本 〜デモを通じて紹介〜(奥田りさ)The Basics of Agent Development with ADK — A Demo-Focused Introduction
Avatar for RisaTube risatube
PRO
5
1.3k
Streamlitで実現できるようになったこと、実現してくれたこと
Avatar for Ayumu Yamaguchi ayumu_yamaguchi
2
240
Claude Code で Astro blog を Pages から Workers へ移行してみた
Avatar for Kei Kamikawa codehex
0
170

Featured

See All Featured
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
63
7.8k
KATA
Avatar for Megan Lloyd mclloyd
31
14k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
33
2.4k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
220k
How GitHub (no longer) Works
Avatar for Zach Holman holman
314
140k
Visualization
Avatar for Eitan Lees eitanlees
146
16k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
130
19k
Designing for Performance
Avatar for Lara Hogan lara
610
69k
BBQ
Avatar for Matthew Crist matthewcrist
89
9.8k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
29
2.8k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.7k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
30
5.9k

Transcript

  1. History APIの魅⼒と危険性 【学⽣向け勉強会】teamLab×DMM tech meetup ~frontend~ 志⽥洋⽃

  2. © teamLab Inc ‧24新卒 ‧パッケージチーム フロントエンド班 ‧モアイとルービックキューブが好きです 志⽥ 洋⽃ Shida

    Hiroto ⾃⼰紹介

  3. © teamLab Inc History APIって知っていますか?

  4. © teamLab Inc →「ブラウザ上の履歴操作が可能なAPI」 History API

  5. © teamLab Inc →「ブラウザ上の履歴操作が可能なAPI」 履歴の移動  history.back()  history.forward() History API 例:history.back()

  6. © teamLab Inc →「ブラウザ上の履歴操作が可能なAPI」 履歴の置き換え  history.replaceState() 履歴の追加  history.pushState() History API

    / /my / /moai 遷 移 順 どちらも遷移はせず、 履歴の編集とURLを書き換えるのみ / /my / /my /moai 遷 移 順

  7. © teamLab Inc 1. ReactなどのSPAのページ遷移  ‧遷移せずにURLを変更可能なため、   サーバーへのリクエストを抑えコンテンツ切替 Header my page

    Content M e n u /my History API いつ使われるのか サーバー History APIで 履歴&URL書き換え Header M e n u /moai 必要なものだけ サーバーから取 得

  8. © teamLab Inc 2. 途中離脱ダイアログ(フォーム⼊⼒中のブラウザバック防⽌)  ‧画⾯離脱時のイベント発⽕でよく使われるbeforeunloadイベント   →ios safariでは使えない & ダイアログのデザイン変更が不可

    History API いつ使われるのか Reactコード例

  9. © teamLab Inc 2. 途中離脱ダイアログ(フォーム⼊⼒中のブラウザバック防⽌)  ‧pushStateで⼀時的にブラウザバックをなかったことにする History API いつ使われるのか /

    /moai /form 遷 移 順 / /moai /form / /moai /form ブラウザバック history.pushState(null,“”, “/form”) ダイアログ 表⽰処理

  10. © teamLab Inc え、History APIって結構危険じゃない?

  11. © teamLab Inc え、History APIって結構危険じゃない? → そうです。結構危険です。

  12. © teamLab Inc ユーザが意図せぬ履歴を⽣成できるため、 理論上は以下のようなこともできてしまう...? ブラウザバックで ユーザが⽬的のページに戻れない 事案をどうにかしたい、、というissueも History APIって危険...?

    [1]

  13. © teamLab Inc chromium ‧ブラウザバック等でユーザ操作のないページをスキップ  (history.backは開発者が使うものなのでスキップしない) safari ‧クリックなどのユーザ操作に起因する場合のみ  history操作が正しく動作するような制限  (document的なソースは⾒つけられず...)

    現在は...様々な対策がされてます [2] [3]

  14. © teamLab Inc ブラウザの履歴を操作可能なHistory API ‧SPA、フォーム離脱などで便利に使える反⾯、  使⽤法を誤るとユーザビリティを下げる危険性も⼤ ブラウザで悪質な履歴操作等の対策がされてる まとめ

  15. © teamLab Inc ブラウザの履歴を操作可能なHistory API ‧SPA、フォーム離脱などで便利に使える反⾯、  使⽤法を誤るとユーザビリティを下げる危険性も⼤ ブラウザで悪質な履歴操作等の対策がされてる まとめ ブラウザ開発者や

    web標準を決める⼈たちってすごい

  16. ご清聴ありがとうございました 参考⽂献 [1] Github Issue「Annoying user experience on back navigation

    due to dummy fast-forwarding history entries」 https://github.com/WICG/interventions/issues/21 [2] Chromium Docs「History manipulation intervention in Chromium」 https://chromium.googlesource.com/chromium/src/+/refs/tags/128.0.6613.5/docs/history_manipulation_intervention.md [3] ブラウザの履歴を操作して「戻る」ボタンで広告を出すやつについて https://blog.maripo.org/2024/08/history-api-abuse/