💬 Commented on "update deps": syuilo "ヌァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァンンンンオオオオンンオンオンオンオンンンンンンンンン゛ン゛!!!!!!!!!!!!!!!!"
https://github.com/misskey-dev/misskey/pull/13624#issuecomment-2080346859
misskey-dev/misskeyのIssue, プルリクエスト, コミットなどのイベントを逐次投稿します。
Post every issue, pull request, commit and other events on misskey-dev/misskey.
Managed by @aqz
Bot Source Code (forked): https://github.com/tamaina/misskey-github-notifier
💬 Commented on "update deps": syuilo "ヌァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァンンンンオオオオンンオンオンオンオンンンンンンンンン゛ン゛!!!!!!!!!!!!!!!!"
https://github.com/misskey-dev/misskey/pull/13624#issuecomment-2080346859
💬 Commented on "Fix(backend): ActivityPubでのHTMLへのシリアライズを修正": syuilo "🙏🏻 "
https://github.com/misskey-dev/misskey/pull/13752#issuecomment-2080459020
💬 Commented on "AP向けHTMLにおいて<や>、&といった記号がエスケープされていない": mei23 "createTextNode使ってるのにエスケープされずに出てきてしまう時点でおかしいと思って
https://github.com/misskey-dev/misskey/blob/20eb4bc29600975ea9b6d74426204b8f6871bc27/packages/backend/src/core/MfmService.ts#L428
https://developer.mozilla.org/ja/docs/Web/API/Document/createTextNode
JSDOMの時は起きてなくてhappy-domにしてから起きてそうなので https://github.com/misskey-dev/misskey/pull/10016
happy-dom自体の挙動を見た方がいいように思えるわ。
リモート向けはリモートでバリデーションを行うだろうから大丈夫だけど、ローカル向けのHTMLで使ってたら脆弱性ではと思うのだわ。"
https://github.com/misskey-dev/misskey/issues/13626#issuecomment-2080641654