IE9で「クロスサイトスクリプトを防止するために、このページは変更されました」
カラーミーショップを使っているお客さんから、「フリーページに設置したリンクを押すとこのエラーが出てしまいます」との問い合わせ。
クロスサイトスクリプティングの防止?
色々調べてみると、カラーミーのHTMLエディタは「CKEditor」を使っていることが判明。
HTMLビューからソースビューに切り替える際に、「&」などのエスケープを自動的にしてくれるようですが、
(具体的には「< % [ ] * ? & >」といった記号)
aタグやimgタグの中でスクリプトを埋め込むと、その部分をブラウザで走らせないように自動的に「< a data-cke-saved-href=」という接頭辞が埋め込まれる?ようなのですが、再現できませんでした。
CKEditorのフォーラムに同じようなトピックがありましたが、バージョンが古いのと、事象が出ているソースを入れてみても再現できず…
Re: <a data-cke-saved-href= gets put in my links. Why?
様子を見てみたいと思います。
