本日12時頃、はてなアンテナにおいてもはてなダイアリーXSS対策と同様の対策を開始しました。今後、アンテナ側からの要望も交えて利用可能タグの検討を行っていきたいと思います。
はてなアンテナXSS対策
はてなアンテナ利用可能タグ
利用可能タグ追加
はてなダイアリー利用可能タグに、base(target,href)を追加しました。
追記:basefont(face)を追加しました。
誤解でした
昨日の、
はてなダイアリーsidebar利用可能テーマの編集にご協力お願いします。
ですが、inugamixさんに誤解頂いている事に今気が付きました。「はてなダイアリーsidebar利用可能テーマ」のキーワードページの編集に、という意味でした。(sidebarが利用可能なテーマのチェック漏れがあると思いますので)。テーマについては、サイドバーの利用の可否に関わらずご協力お願いします、です。
はてなとしてのテーマの募集・公開方法などについては検討していきたいと思います。
import機能の危険性について
hoshikuzuさんにご指摘いただいていました、@import先ファイルでのjavascript実行の危険性についてですが、@importで指定されたファイルをスタイルシート内に埋め込んだのちに、これまでと同様の処理(javascript等の文字列の削除)を行っておりますので、原理的には危険性はこれまでと同様であると考えています。
なお、@importのネスト(外部ファイルでさらに@importを指定されていた場合)には、再帰的のそのファイルの取得を試みます。
キーワードの属性削除
キーワードの属性で、最後の1件が消去できない不具合がありましたが、先ほど修正しました。なお、属性の削除方法は、属性の値の欄を空白にして更新してください。
キーワード自動リンクの不具合
日記文中のキーワードの中で、空白を含むキーワードが自動リンクにならない不具合があり、さきほど修正しました。空白やその他メタ文字の取り扱いが不十分でした。hinochaさん、詳細なご指摘を頂きありがとうございました。
自動リスト作成
「-」で始まる行は、自動的にリストとなるよう変更を行いました。「-」の個数を増やすと、その分深い階層になります。たとえば、
-ぶどう
--巨峰
--マスカット
-もも
と書くと、
- ぶどう
- 巨峰
- マスカット
- もも
と表示されます。
追記:ネスト時の</li>の位置が間違っていました。</li>を出力しないようにしながら対策中です。
追記:ネスト時の</li>の出力位置を訂正しました。yさん、Jehoshaphatさんありがとうございました。