忍者BLOG、
エントリ本文はしっかりタグ閉じ処理を行っているのに、
タイトルでは行っていません。
タイトルに<strike>とか書いてみるとアウチなことに。
と思ったら本文でも行っていませんでした。
通常時にタグを打つと自動で実体参照に変換されますが、
ソース表示状態で<b>とか打つとやっぱりそのまんま。
仕様的にどうなんだろう。
ていうか、
<img src="javascript:alert('hello');">
<BR style=left:expression(eval('document.location="http://www.google.co.jp/";'))>
とか書いちゃうとえらいことになるんですが。
普通に<script>alert();</script>で通るし。大丈夫なのか?
PR
トラックバック
トラックバックURL:
