リクエスト: X-XSS-Protection の更新

[magicant]

更新対象ページ (日本語 URL)

https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-XSS-Protection#xss_%E3%83%95%E3%82%A3%E3%83%AB%E3%82%BF%E3%83%AA%E3%83%B3%E3%82%B0%E3%81%AB%E8%B5%B7%E5%9B%A0%E3%81%99%E3%82%8B%E8%84%86%E5%BC%B1%E6%80%A7

更新内容・備考・ヘルプ

コード例の直後にある段落について、英語版では

This code is completely safe if the browser doesn't perform XSS filtering. However, if it does and the search query is ?something=%3Cscript%3Evar%20productionMode%20%3D%20true%3B%3C%2Fscript%3E, the browser might execute the scripts in the page ignoring (thinking the server included it in the response because it was in the URI), causing window.productionMode to be evaluated to undefined and executing the unsafe debug code.

となっていますが、現在の日本語版は以下のようになっていて、途中の文の意味がほぼ逆になっています。

このコードは、ブラウザーが XSS フィルタリングを行わない場合は、完全に安全です。しかし、もしブラウザーがフィルタリングを行い、検索クエリーが ?something=%3Cscript%3Evar%20productionMode%20%3D%20true%3B%3C%2Fscript%3E である場合、ブラウザーは無視したページ内のスクリプト を（URI にあったためサーバーがそれをレスポンスに記載したと思い）実行するかもしれません、 window.productionMode が undefined と評価されて安全ではないデバッグコードを実行させる原因となることが考えられます。

正しくは以下のような文になると思います。

このコードは、ブラウザーが XSS フィルタリングを行わない場合は、完全に安全です。しかし、もしブラウザーがフィルタリングを行い、検索クエリーが ?something=%3Cscript%3Evar%20productionMode%20%3D%20true%3B%3C%2Fscript%3E である場合、ブラウザーはページ内のスクリプト を（URI にあったためサーバーがそれをレスポンスに記載したと思い）無視して残りのスクリプトを実行するかもしれません。すると、 window.productionMode が undefined と評価されて安全ではないデバッグコードを実行させる原因となることが考えられます。

[magicant]

ご対応ありがとうございました