[9] はてなスターは、株式会社はてなのWebサービスです。
- [13] はてなスター https://s.hatena.ne.jp/
- [1] はてなスターをブログに設置するには - はてなスター日記 ( 版) https://d.hatena.ne.jp/hatenastar/20070707
機能
[15] はてなスター- スターコメント
- 引用スター
- どこでもはてなスター
- カラースター
- スターレポート
- スターフレンド
記号表示
[3]
記号としては☆
(カラースターは★)
を使うようです。
JSON API
[4]
https://s.hatena.ne.jp/entries.json は
HatenaStar.js の初期表示で使われています。
スター数が多い時に数字で省略表示されますが、
それに相当する情報が入っています。つまり全件取得には使えません。
[5]
queryURL query に callback 引数を指定すると、
指定された関数名の JSONP になります。
[6]
CORS に対応しており、任意の起源からアクセスできます。
[7]
https://s.hatena.ne.jp/entry.json は省略されずにすべてのスターの情報が入っています。
(ただし count を使ってまとめられていることはあります。)
[8]
queryURL query に callback 引数を指定すると、
指定された関数名の JSONP になります。 CORS には対応していません。
[24]
Hatena::Star::Mobile
ははてなスターの
JSON API
呼び出しをラッピングした
Perlモジュールです。
- [25] wakaba/perl-hatena-star-mobile: Hatena: :Mobile - A Hatena Star client Perl module, https://github.com/wakaba/perl-hatena-star-mobile
[26]
株式会社はてな社内で作られたもので、かつてはガラケー版はてなサービス内でも使われていました。
CSRF
[10]
はてなにログインしている状態では、任意の起源の JavaScript
コードから、 JSON API を通じてそのはてなID
の権限でスターの情報を取得したり、操作したりできます。つまりこれは
CSRF 脆弱性です。
[21] 例えば好きな URL に勝手にスターをつけることができます。
[16] 引用スターを使っていると、引用文が外部から取得できることになります。
[20] スターコメントを使っていると、コメントが外部から取得できることになります。
[11]
この問題は初期から第三者により報告されていますが、修正されていません。
mixi の足跡機能のように使っている外部サイトもあります。
[12]
一般の利用者が自衛するには、はてなからログアウトするしかありません。
HTTPS
[17] はてなスターの s.hatena.ne.jp には HTTPS でもアクセスできます。
しかし素のHTTPでもアクセスでき、 HSTS には対応していません。
[18] これはスターをつける対象のサイトが HTTPS であっても変わりありません。
また素のHTTPのアクセスで HTTPS の URL のスター情報を取得することができます。
[19] つまり HTTPS を使って個別のアクセスを安全にすることはできても、
スターの情報 (はてなID、スターコメント、引用文など)
は安全とはいえないことになります。従って、 HTTPS の Webサイトでは、
はてなスターを利用するべきではありません。
第三者クッキー
[22]
外部サイトでは、
第三者クッキーによるログインが必要になるため、
Webブラウザーによっては動作しません。
(最近の
Webブラウザーは規制を厳しくする方向にあります。)
[23]
よって外部サイトでは使うべきではありません、というか使うのは困難です。
メモ
はてな
[2] SuikaWikiをはてなスターに対応させてみた
[14] はてなスターSiteConfig作成方法とは - はてなキーワード
( 版)
http://d.hatena.ne.jp/keyword/%A4%CF%A4%C6%A4%CA%A5%B9%A5%BF%A1%BCSiteConfig%BA%EE%C0%AE%CA%FD%CB%A1