XSSの脆弱性 #89
Labels
bug
Something isn't working
Comments
|
#91 の Tabnabbing も勉強になったから対応してみようかな。(できるとは言ってない |
|
PR #104 で対応しています。無理だったらごめんちゃい |
|
#104 (comment) |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
外部APIを叩いて取得したtoot(JSON)をパースしてそのまま表示していますが、エスケープ処理がされていないため悪意のあるJSONデータが返却された場合に任意のjavascriptを実行することが可能です。
Qiitadon以外のインスタンスも指定できる仕様ですので、外部データは常に危険であるという前提でエスケープ処理を行う必要があります。
xss payload : https://api.myjson.com/bins/158yga
The text was updated successfully, but these errors were encountered: