notestockにXSSが有ったので修正しました。phpのstrip_tagsを使っているのにすり抜けていて、なんでだろって思って調べてみました。ActivityPubで届くデータはHTMLなんですがscriptタグは&lt; &gt;でエンティティ化されています。このときstrip_tagsはタグじゃないのでこれを無視します。そのあと、ハッシュタグリンクをnotestock向け検索アドレスに書き換える処理があり、そこでDOMDocumentを使っていて、こいつがエンティティ化された記号を< >記号に戻します。それをそのまま出力・・・こんにちは！！という流れでした。この問題は2018年9月13日から発生していました。報告していただいたくりむさん @[email protected] 、ありがとうございます。