しばやん雑記

Azure とメイドさんが大好きなフリーランスのプログラマーのブログ

はてなブログのプレビューで XSS フィルタが無効になっていた

さっき、ASP.NET MVC 4 で理想的なスマートフォン対応サイトを作成する方法 - しばやん雑記 を書きながら気が付いたのですが、いつの間にかにはてなブログのプレビューで XSS フィルタが自動的に無効になっていました。

f:id:shiba-yan:20130625000253p:plain

通信をキャプチャしてみると、レスポンスに X-XSS-Protection: 0 がバッチリ指定されていました!

XSS フィルタが無効になっていると書くと誤解する人が居そうですが、ちゃんとプレビュー以外は XSS フィルタ有効なのでご安心を。

f:id:shiba-yan:20130625000534p:plain

これからは以下のように {} や () がたっぷり含まれたコードを書いていても、XSS フィルタで真っ白にされることが無い!!

実際に

$(function() {
    $("#send").click(function() {
        alert("XSS フィルタ無効だよん");
    });
});

とか

public class HomeController
{
    public ActionResult Index()
    {
        // 無限ループしろ
        return RedirectToAction("Index");
    }
}

書いてみても XSS フィルタが反応して真っ白になることが無くなった\(^o^)/

はてなブログの中の人、ありがとう!!!