mozuyama https://blog.hatena.ne.jp/mozuyama/ 勝手に将棋トピックス https://mozuyama.hatenadiary.org/ Web 2月8日の続き。1月9日に長々と書いたように、はてなダイアリーはセキュリティを保つため様々な対策を行っています。その一つがはてなダイアリーXSS対策です。昨日書いた脆弱性の内容を一言で言うと、はてなダイアリーの引用に関する機能でここで示された手順が守られていない部分があったということになります。具体的には第3段の次の箇所です。 href,src,cite,background 属性で外部 URL が参照される場合、URL が適切な文字で構成されているかチェックを行ないます。 2月7日に書いたように、はてなダイアリーでは引用の際に自動的に引用元にリンクを張る機能があります。この自動的に生成される… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fmozuyama.hatenadiary.org%2Fentry%2F20040209%2Fp5" title=" はてなダイアリーでJavaScriptが発動した（過去形） - 勝手に将棋トピックス" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2004-02-09 00:00:04 rich https://mozuyama.hatenadiary.org/entry/20040209/p5 1.0 100%