@kusano_k

Teratail、属性値のXSS対策で「"」をエスケープするのではなく「onxxx」を「on<!-->xxx」に置換していたり、リンクのjavascriptスキームを禁止するのではなく使いそうな記号を禁止していたり、綱渡り感が凄い。
teratail.com/js/frontend/qu…