はてなダイアリーXSS対策---はてな各サービスの機能変更、お知らせなど
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
スタイルシート内のXSS脆弱性について - はてなダイアリー日記
はてなダイアリーを含む、スタイルシートを独自に設定できる各サービスで、スタイルシート内に記述された JavaScript を実行できてしまう XSS 脆弱性が見つかりましたので、修正を行いました。 具体的には、Windows版 Internet Explorer がスタイルシート内のコメント部分 (/* ... */) を無視して解釈するため、"expres/**/sion" などと記述することでサニタイズロジックを通り抜けることができるというものでした。"*/" を "*/ " (コメントを閉じた後に空白を二つに置換) とすることで、対策を行いました。 また、今回の修正に合わせて g:hatena:keyword:はてなダイアリーXSS対策 を更新いたしました。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
