今日は早速TalkがXSSで破壊されてたが、一般のWebブラウザから見るTalkはちゃんとサニタライズされてて、専用ブラウザの方は影響を受けるという面白い形になってた。そもそも本来の静的ファイルのスレタイtxtやスレッドdatは<>をデリミタにしてるから普通こんな甘い仕様にはならないはずなんだよな。TalkはdatのI/Fを残しつつもDBで書き込みを管理してるのかな。
Discussion
No replies yet.
今日は早速TalkがXSSで破壊されてたが、一般のWebブラウザから見るTalkはちゃんとサニタライズされてて、専用ブラウザの方は影響を受けるという面白い形になってた。そもそも本来の静的ファイルのスレタイtxtやスレッドdatは<>をデリミタにしてるから普通こんな甘い仕様にはならないはずなんだよな。TalkはdatのI/Fを残しつつもDBで書き込みを管理してるのかな。
No replies yet.