従来のidジャンプ → ページ内の要素に実際にジャンプ(スクロール)
https://oldcygwin.web.fc2.com/index_old.html#CSS
4h-001.html → ページ内の特定要素にはジャンプせず、JavaScriptでハッシュを処理
https://shirakawa.weblike.jp/blog-page/2024/01/27…
特徴
1.ページ遷移なし:ハッシュ変更だけでページ再読み込みなし
2.履歴に残る:ブラウザの戻る/進むボタンでハッシュの状態を辿れる
3.状態管理:URLに状態を保存できる(ブックマークや共有が可能)
4.JavaScript駆動:ハッシュをJavaScriptで処理して動的に表示を変更
このような実装は、SPA(Single Page Application)でよく使われる手法で、ページ内の状態をURLに保持するのに便利です。
/*************************************************************************************/
ハッシュを使ったテクニックは、ジャンプや文字の置き換え以外にもあるか?(->DeepSeek)
はい、ハッシュを使ったテクニックは多岐にわたります。以下に主な用途を紹介します:
## 1. SPA(Single Page Application)でのルーティング
// 例: ハッシュベースのルーティング
if (location.hash === “#/home”) {
loadHomePage();
} else if (location.hash === “#/about”) {
loadAboutPage();
} else if (location.hash === “#/contact”) {
loadContactPage();
}
## 2. タブ/アコーディオンUI
>div class=”tabs”<
>a href=”#tab1″<タブ1>/a<
>a href=”#tab2″<タブ2>/a<
>/div<
>div class=”tab-content”<
>div id=”tab1″ class=”tab-pane”<内容1>/div<
>div id=”tab2″ class=”tab-pane”<内容2>/div<
>/div<
>script<
// ハッシュに応じて表示するタブを変更
>/script<
## 3. フィルタリング・ソート状態の保持
// 例: 商品リストのフィルタ状態をURLに保存
function applyFilters() {
const filters = {
category: ‘electronics’,
price: ‘under-100’,
sort: ‘newest’
};
// フィルタ状態をハッシュとして保存
location.hash = ‘#filter=’ + JSON.stringify(filters);
}
// ページ読み込み時にフィルタを復元
window.addEventListener(‘load’, () => {
if (location.hash.includes(‘filter=’)) {
const filterStr = location.hash.split(‘filter=’)[1];
const filters = JSON.parse(decodeURIComponent(filterStr));
restoreFilters(filters);
}
});
## 4. モーダル/ライトボックスの状態管理
“`javascript
// 画像ギャラリーでクリックした画像をハッシュで開く
>a href=”#modal=image1″<画像1を開く>/a<
// JavaScriptで処理
if (location.hash.startsWith(‘#modal=’)) {
const imageId = location.hash.split(‘=’)[1];
openModal(imageId);
}
## 5. 無限スクロールのページ位置保持
// スクロール位置をハッシュに保存
window.addEventListener(‘scroll’, _.throttle(() => {
const position = window.pageYOffset;
location.replace(location.pathname + ‘#scroll=’ + position);
}, 1000));
// ページ読み込み時に位置を復元
if (location.hash.includes(‘scroll=’)) {
const scrollPos = parseInt(location.hash.split(‘=’)[1]);
window.scrollTo(0, scrollPos);
}
## 6. フォーム入力状態の保存(草稿機能)
// フォーム入力内容を定期的にハッシュに保存
const form = document.getElementById(‘myForm’);
form.addEventListener(‘input’, _.debounce(() => {
const formData = new FormData(form);
const data = Object.fromEntries(formData);
location.hash = ‘#draft=’ + btoa(JSON.stringify(data));
}, 500));
## 7. ビューモードの切り替え(グリッド/リスト表示など)
>a href=”#view=grid”<グリッド表示>/a<
>a href=”#view=list”<リスト表示>/a<
>script<
const view = location.hash.includes(‘view=’)
? location.hash.split(‘=’)[1]
: ‘grid’;
applyViewMode(view);
>/script<
## 8. 言語/テーマ設定の保持
// ユーザー設定をURLで共有可能に
function setTheme(theme) {
document.body.className = theme;
location.hash = ‘#theme=’ + theme;
}
function setLanguage(lang) {
loadLanguage(lang);
location.hash = ‘#lang=’ + lang;
}
## 9. アンカーリンクの拡張(スムーズスクロール+履歴)
// スムーズスクロールとブラウザ履歴の両方を実現
document.querySelectorAll(‘a[href^=”#”]’).forEach(anchor => {
anchor.addEventListener(‘click’, function(e) {
e.preventDefault();
const targetId = this.getAttribute(‘href’);
const target = document.querySelector(targetId);
// スムーズスクロール
target.scrollIntoView({ behavior: ‘smooth’ });
// 履歴に追加(replaceStateで現在の履歴を置換)
history.replaceState(null, null, targetId);
});
});
## 10. アプリケーション状態のシリアライズ
// 複雑なアプリ状態をハッシュに保存
function saveAppState(state) {
const compressed = LZString.compressToEncodedURIComponent(
JSON.stringify(state)
);
location.hash = ‘#state=’ + compressed;
}
function loadAppState() {
if (location.hash.includes(‘state=’)) {
const compressed = location.hash.split(‘=’)[1];
return JSON.parse(
LZString.decompressFromEncodedURIComponent(compressed)
);
}
return null;
}
## 11. パンくずリストの生成
// ハッシュからナビゲーションパスを生成
const hashPath = location.hash.slice(1).split(‘/’);
// ‘#category/electronics/phones’ → [‘category’, ‘electronics’, ‘phones’]
generateBreadcrumbs(hashPath);
## 12. キャッシュバスティングの代用
// コンテンツ更新を強制
function refreshContent() {
const timestamp = Date.now();
location.hash = ‘#_=’ + timestamp;
// ハッシュ変更を検知してコンテンツ再読み込み
}
## 利点と注意点
利点:
– ページリロードなしで状態変更可能
– ブックマークやURL共有で状態を維持
– ブラウザ履歴で状態遷移を追跡可能
– SEO的には不利だが、JavaScriptが無効でも基本的な機能は維持
注意点:
– URLの長さ制限(約2000文字)
– セキュリティ上の考慮(XSSのリスク)
– サーバー側でハッシュ部分は送信されない
– 複雑な状態管理にはURLパラメータやHistory APIの方が適している場合も
最近ではHistory API(`pushState`, `replaceState`)を使用したルーティングが主流ですが、ハッシュベースの実装はシンプルで後方互換性が高いという利点があります。
/*************************************************************************************/
4h-006a.html https://shirakawa.weblike.jp/blog-page/2024/01/27…
location.hashもurlも文字列オブジェクトで、slice(1)やmatch()はそのメソッドという事か? (->DeepSeek)
はい、その通りです!
### 正しい理解
1. `location.hash` – 文字列を返すプロパティ
– URLのハッシュ部分(`#`から始まる部分)を文字列として返す
– 例:`”#https://example.com”`
2. 文字列オブジェクト
var hashValue = location.hash; // 文字列データを取得
// JavaScriptでは文字列プリミティブも自動的にラップされ、オブジェクトのようにメソッドを呼べる
3. メソッドチェーン
// 実際の処理フロー
var url = location.hash // 1. 文字列を取得(例: “#https://example.com”)
.slice(1); // 2. 文字列メソッドを適用(例: “https://example.com”)
// さらに別の文字列メソッドも呼べる
url.match(/^https?:\/\//); // 3. 文字列メソッドでパターンマッチ
### JavaScriptの文字列メソッド特性
// プリミティブ文字列でもメソッドが呼べる(自動ボックス化)
var str = “hello”; // プリミティブ文字列
var result1 = str.slice(1); // “ello” – メソッド呼び出し可能
// 明示的にStringオブジェクトを作成することも
var strObj = new String(“hello”);
var result2 = strObj.slice(1); // “ello”
// どちらも同じメソッドを使用可能
console.log(typeof str); // “string”(プリミティブ)
console.log(typeof strObj); // “object”(オブジェクト)
### このコードでの具体的な型の流れ
function go() {
// location.hash → 文字列(Stringプリミティブ)
// .slice(1) → 文字列メソッド → 新しい文字列を返す
var url = location.hash.slice(1); // urlは文字列
// url.match() → 文字列メソッドを呼び出し
if (url.match(/^https?:\/\//)) { // 正規表現にマッチするか検査
// match()はマッチ結果の配列かnullを返す
// 条件式では配列はtruthy、nullはfalsyと評価される
location.href = url;
}
}
### 重要なポイント
1. **文字列プリミティブでもオブジェクトのようにメソッドを呼べる**
– JavaScriptの言語仕様による自動変換(オートボクシング)
2. **各メソッドの戻り値**
– `slice(1)` → **新しい文字列**(元の文字列は変更されない)
– `match(pattern)` → **配列またはnull**
– マッチする場合:`[“https://”, …]`(配列)
– マッチしない場合:`null`
3. **メソッドチェーン可能**
– 文字列を返すメソッドなら、さらに別の文字列メソッドを続けて呼べる
まさにご理解の通り、「文字列オブジェクト(プリミティブ)のメソッド」として `slice()` や `match()` が呼び出されています。
/*************************************************************************************/
最近のSPAでは、セキュリティ(XSSのリスク)を考慮して、ハッシュを使わない方法で記述しているのか?(->DeepSeek)
はい、その通りです。近年のSPA(Single Page Application)では、セキュリティやSEO、UX(ユーザー体験)の向上を目的として、ハッシュ(`#`)を使わない方法が標準的となっています。
この技術的移行の核となるのは、HTML5で導入された History API です。
### 📜 History API:ハッシュに依存しないSPAルーティング
History API(特に `pushState()` と `replaceState()` メソッド)により、ページを再読み込みせずにブラウザのアドレスバーのURLを、本物のパス(例: `https://example.com/products/123`)に変更できるようになりました。これにより、ハッシュフラグメント(`#`)を使わなくても、SPAでのスムーズな画面遷移とブラウザの「戻る/進む」履歴の管理が可能になります。
### ✅ なぜHistory APIへの移行が進んだのか:ハッシュの主な課題 | 課題の種類 | ハッシュ(`#`)の限界 | History APIの解決 | | :---------------------- | :-------------------------------------- | :------------------------------------- | | SEO(検索エンジン最適化) | 検索エンジンが`#`以降を基本的に無視する | 通常のURLパスとして認識され各ページ | | | ため、個別ページが正しくインデックスさ | が正しくクロール・インデックスされる。 | | | れない。 | | | セキュリティ | DOM-based XSS攻撃のリスクが高い。URLの | セキュリティリスクの本質的な解決にはな | | | ハッシュ部分をJavaScriptで直接innerHTML | らないが、URLをより標準的・管理しやす | | | などに設定すると、悪意あるスクリプトが | い形で扱える。 | | | 実行される可能性がある。 | | | UX・表示 | URLに`#`が付き、本物のディレクトリ構造 | サーバー側の設定と連携することで、完全 | | | に見えない。 | にリアルなURLを提供できる。 |
> ⚠️ 重要な補足: History APIへの移行は、XSSリスクを根本的に解消するものではありません。History APIを使う場合でも、ルーティングに使用するURLパラメータや、画面に表示する動的データの処理が不適切であれば、XSSの脆弱性が生まれる可能性は変わらず存在します。
### 🛡️ ハッシュの有無に関わらず必要なSPAのセキュリティ対策
ハッシュを使うか否かに関わらず、SPAにおけるXSS対策は以下の「多層防御」が重要です。
入力のサニタイズ: ユーザー入力やサードパーティデータをHTMLとして描画する必要がある場合、`dangerouslySetInnerHTML` や `v-html` を使う前に、**DOMPurify** などの信頼できるライブラリで無害化(サニタイズ)する。
フレームワークの安全機能を信頼し過ぎない: ReactのJSXやVueのテンプレート内の式は自動的にエスケープされるが、それを意図的にバイパスするAPIを使う時は細心の注意が必要。
CSP (Content Security Policy) の導入: 信頼されたソース以外のスクリプト実行をブラウザレベルで防ぐ最強の防御策です。インラインスクリプトを禁止することで、たとえXSS攻撃が成功してもスクリプトの実行を阻止できます。
認証トークンの安全な管理: localStorage に保存するとJavaScriptからアクセス可能でXSSで盗まれるリスクが高いです。可能であれば、httpOnly, Secure属性付きのCookieに保存することを検討しましょう。
### 💎 まとめ
最近のSPAでは、SEOやUX向上のため、ハッシュではなくHistory APIを使った「本物のURL」でのルーティングが主流です。
ハッシュの使用はDOM-based XSSのリスク要因の一つですが、History APIへの移行だけでXSSが防げるわけではありません。
最大のセキュリティ向上は、URL形式ではなく、入力値の適切なサニタイズ、CSPの適用、安全なトークン管理などの「多層防御」によって実現します。
SPA開発で、特にルーティングライブラリ(React Router, Vue Routerなど)の選択や設計において、他に具体的に気になる点はありますか?