きょうはSAなので技術的な稼働はなく……。

ひょんなことからXSSのデモを見せたくて、適当に書いた適当なスクリプト書いて実行したらChromeにもSafariにもブロックされた。(ERR_BLOCKED_BY_XSS_AUDITORとか言われる)

動いてるのはサーバーから返ってきたただのJSのはずなのに一体どうやって判定してるのだろうか…。

リクエストのクエリパラメータに含まれるJSが全く同じ形でレスポンスに含まれていることを検知して弾いてるのだろう、と推測した。

実際に調べたらそんなことが書いてるページを見つけた。

security.stackexchange.com

予想が当たってとっても嬉しい。