AOL Reader に XSS 脆弱性発見Google Reader亡き後、お気に入りで使っている「AOL Reader」(詳しくは、Googleリーダーファンのみんなー、乗り換え先はもう決めたー?参照)。 「AOL Reader」はまだBETA版ということで、そこら中にバグが見受けられたり、動作が少し遅かったりしますが、概ね気に入っています。 さて、今日気付いたことがあります。「AOL Reader」には、XSS脆弱性があります。他サイトから読み込んだRSS内のスクリプトが実行されちゃいます。 最初RSS提供側がエスケープ処理していないのかと思ったら、そうではありませんでした。RSS内ではエスケープ処理されているのに、「Aol Reader」で読み込んだ際に、勝手に展開されてスクリプトが実行されてしまうようです。 タイトルにJavascriptのコードなどが入ったRSSを読み込んでしまうと、危ないようです。 修正されるまでは、「
