まあIEですから。jsonのレスポンスでタグをエスケープしてないとIEでXSSできてしまうという話。 {test: "<html><script>alert(document.cookie)</script></html>"}こんな感じのレスポンスを返すページをIEで読ませる。 test.py #!/usr/bin/env python from wsgiref.simple_server import make_server def app(environ, start_response): start_response("200 OK", [('Content-Type','text/plain')]) return ["{test: \"<html><script>alert(document.cookie)</script></html>\"}"] if __name__ == '