開発ブログ

CSP を無効化した場合、RSS リーダに XSS の脆弱性


こんにちは、Kinza 開発チームです。

Content Security Policy (CSP) を無効化させた場合に、Kinza の RSS リーダ (kinza://reader) に、XSS の脆弱性があることがわかりました。ご報告いただいた方、ありがとうございます。

早急に対応したバージョンをリリースいたします。

CSP は、間違って無効化するようなものではありません。意図的に、CSP を無効にしたという方以外は、ご安心ください。また、CSP を無効化する以下の拡張機能において、問題が発生しないことを確認しております。

もし、上記以外の方法で、CSP を無効化されている方がいらっしゃいましたら、しばらくの間、RSS リーダのご利用をお控えください。ご面倒をおかけして申し訳ありません。

対応したバージョンのリリースまでの経緯に関しては、追って詳細をご報告させて頂きます。何卒宜しくお願い致します。