きょうはSAなので技術的な稼働はなく……。
ひょんなことからXSSのデモを見せたくて、適当に書いた適当なスクリプト書いて実行したらChromeにもSafariにもブロックされた。(ERR_BLOCKED_BY_XSS_AUDITOR
とか言われる)
動いてるのはサーバーから返ってきたただのJSのはずなのに一体どうやって判定してるのだろうか…。
リクエストのクエリパラメータに含まれるJSが全く同じ形でレスポンスに含まれていることを検知して弾いてるのだろう、と推測した。
実際に調べたらそんなことが書いてるページを見つけた。
security.stackexchange.com
予想が当たってとっても嬉しい。