hasegawayosuke https://blog.hatena.ne.jp/hasegawayosuke/ 葉っぱ日記 https://hasegawa.hatenablog.com/ SECURITY Firefox Firefox Sage Extension RSS Feed Script Insertion Vulnerability - Advisories - Secunia Cross Context Scripting with Sage - GNUCITIZEN Taken SPC : Sage に未パッチの XSS 脆弱性 PoC もあり。むー。file:// でスクリプトが動くのは悲しいなぁ。とりあえず、「コンテンツエリアにフィードを読み込む」を無効にしてると大丈夫っぽい。 どうでもいいけど、RSS に対するスクリプトインジェクションを XSS というのはすごく違和感がある今日この頃。 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fhasegawa.hatenablog.com%2Fentry%2F20060915%2Fp2" title=" Firefox 用定番RSSリーダ Sage における RSS Script Injection - 葉っぱ日記" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2006-09-15 00:00:02 rich https://hasegawa.hatenablog.com/entry/20060915/p2 1.0 100%