hasegawayosuke https://blog.hatena.ne.jp/hasegawayosuke/ 葉っぱ日記 https://hasegawa.hatenablog.com/ SECURITY Firefox Sage 1.4 nightly (2006/10/11版)において、スクリプトを含む細工されたフィードを読ませると、 Firefoxのオプション設定やNoScript拡張などでJavascriptを禁止にしても防ぐことはできませんでした。Sageのオプションで「HTMLタグを許可する」をオフにした場合は発生しませんが、その場合は何故か他のフィードも含めて全く表示されなくなってしまいました(読み込み中のまま動かない)。結局、まともに使うためには「コンテンツエリアにフィードを読み込む」をオフにするしかないようです。 という状況が発生するとのこと。 RSS へのスクリプトの挿入は、HTML以上に記… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fhasegawa.hatenablog.com%2Fentry%2F20061012%2Fp2" title=" [警告] Sage 1.4にもスクリプトインジェクション脆弱性があります (ひぐまのひまグ) - 葉っぱ日記" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2006-10-12 00:00:03 rich https://hasegawa.hatenablog.com/entry/20061012/p2 1.0 100%