まだ全然だめそうですね。
GitHub System Status
https://status.github.com/messages
notestockにXSSが有ったので修正しました。phpのstrip_tagsを使っているのにすり抜けていて、なんでだろって思って調べてみました。ActivityPubで届くデータはHTMLなんですがscriptタグは< >でエンティティ化されています。このときstrip_tagsはタグじゃないのでこれを無視します。そのあと、ハッシュタグリンクをnotestock向け検索アドレスに書き換える処理があり、そこでDOMDocumentを使っていて、こいつがエンティティ化された記号を< >記号に戻します。それをそのまま出力・・・こんにちは!!という流れでした。この問題は2018年9月13日から発生していました。報告していただいたくりむさん @[email protected] 、ありがとうございます。
ActivityPub対応ログ記録サービスを始めました。→https://notestock.osa-p.net/ ぶろるっく https://mastodon.blolook.osa-p.net/ フォローリンク http://followlink.osa-p.net/ ふぁぼるっくなどを作っていました。おすすめユーザーは分散SNSを始める上で、色々な方面への足がかりになりそうな方です。