XSSの脆弱性

[prograti]

外部APIを叩いて取得したtoot（JSON）をパースしてそのまま表示していますが、エスケープ処理がされていないため悪意のあるJSONデータが返却された場合に任意のjavascriptを実行することが可能です。

Qiitadon以外のインスタンスも指定できる仕様ですので、外部データは常に危険であるという前提でエスケープ処理を行う必要があります。

xss payload : https://api.myjson.com/bins/158yga

[KEINOS]

#91 の Tabnabbing も勉強になったから対応してみようかな。（できるとは言ってない

[KEINOS]

PR #104 で対応しています。無理だったらごめんちゃい

[yumetodo]

#104 (comment)
にも書きましたが、検証例おいておきますね
https://deploy-preview-104--zen-edison-40804e.netlify.com/p.html?i=https://repos.irregular-at-tus.work&t=1
https://repos.irregular-at-tus.work に検証のためにファイルおきたい場合は声かけてください。