エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント1件
- 注目コメント
- 新着コメント
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
Zennで見つけたXSSとmarkdown-it
1年以上前、リリース直後ぐらいのZennでXSSを見つけた話です。 経験的にはmarkdownをカスタマイズしてい... 1年以上前、リリース直後ぐらいのZennでXSSを見つけた話です。 経験的にはmarkdownをカスタマイズしているサービスは大抵XSSがある……ということでZennのmarkdown記法を確認しながらガチャガチャやっていると見つけました。Zenn自体はReactで書かれているのでXSSは起きにくいのですが、Zennで使用しているmarkdown-itのplugin側に脆弱性がありました。 発見時はZennのeditorのコードがGithubで公開されていることに気づいていなかったので、Zennの問い合わせフォーム経由で報告したところ、catnoseさんによりその日の深夜に修正されて、翌日にはplugin側への修正PRも作成されていました。 markdown-it-prism コードブロックの言語指定の部分に " をいれると以降の部分にHTMLを記述できました。lang の値がエスケープさ
2022/08/09 リンク