『(TwitterのXSS脆弱性に関連して)構造化テキストの正しいエスケープ手法について』(Kazuho@Cybozu Labs),Twitterのメッセージは、単なる平文(プレインテキスト)ではなく、「@英数字」のような他のユーザーへの言及と「http://〜」のようなURLを自動的にハイパーリンク化する構造化テキストです。 このような複数のルールをもつ構造化テキストをHTML化する際には、どのようなコードを書けばいいのでしょう? (snip) 正しいアプローチは、全てのルールを同時に適用することです。
『Twitterの脆弱性騒動でブラウザに感謝した』(誠ブログ),上で紹介した「2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について」で、じっさいにマウスオーバーするとメッセージを表示するJavaScriptの例が挙げられています。 (snip) で、私はOperaというブラウザを使っているのですが、Operaだと (snip) こういう表示になるんです。どこが違うかというと、「このページのスクリプトの実行を中止する」というのをユーザーが選べるんですね。これは単純なメッセージ表示だけなのでこれで終わってますが、さらに外部からスクリプトを呼び出すようなしかけのときはこれで実行を止めることができるのです。