届け出ていたYahoo!ブログ (blogs.yahoo.co.jp)のXSS脆弱性が修正されたようなので、「Firefoxではembedのsrcに書かれたスクリプトが動作する」というお話で伏せていた部分を公開しました。 Yahoo!ブログでは他のユーザとドメインを共用していますし、管理画面も同じドメインですので、ブログでスクリプトが動作するとあまり良くないことが起こります。そして、独自のWiki記法で img 要素や embed 要素を書けるのですが、 [[img(javascript:alert(document.cookie))]] [[item(javascript:alert(document.cookie))]]