Bugtraq: WordPress XSS vulnerability in RSS Feed Generator を見て。 Catalyst でも $c->uri_for() で生成される文字列は、安全な文字列であると (なんとなく) 思い込んでいたらそうではないのだな。 <a href="[% c.uri_for('/') %]">みたいにエスケープしないで書くと、host 部分は $ENV</a>…

C::P::Session を 0.06 以降にバージョンアップするときは C::P::Session::State::* も一緒にバージョンアップすること。なんの気なしに C::P::Session だけ更新したら動かなくなって (セッションが切れる)、結構悩んでしまった。特にエラーが出たりしないの…