概略 サイトのコメント欄の外部委託系サービスの disqus.comにいくつか DOM based XSS がありまして修正されました.location.hash 部分の url encode が行われない IE, Chrome, Opera で問題があったことは確認しています. まず一つ目は,コメント欄の埋め込みスクリプトにありました. 脆弱性とその修正を確認しているのは,blogid.disqus.com/admin/universal/ にて表示されるコードを埋め込むタイプで,blogid.disqus.com/embed.js というスクリプトです. こちらのコードは,埋め込んだドメイン上で動作していましたので,このタイプのコードを埋め込んでいたドメインで提供されているサービスに影響があった可能性があります.disqus.com ではuniversal code とは別に,特定の幾