もう修正・対策済みなので喋ってしまいますが、自社のサービスにXSS脆弱性を見つけてしまったのです。 サーバサイドは node.js で、テンプレートエンジンは jade(pugjs)。問題のコードを簡略化して書くと以下のようになります。 head script var hoge = { a: '#{param}', b: 'fuga' }; 恐ろしい事に、このparam変数にはURLのクエリストリングの値が入るのです。はい、もう嫌な予感しかしないですね〜 jadeは < > % " をエスケープしますが、シングルクオートはエスケープせず出力されてしまいます。 ということは、以下のようなパラメータを渡すと ' がそのまま出力されてしまうため window.alert が実行されてしまうんじゃないですかねー。 http://localhost:3000/login?param=',x:wind