web-dev-qa-db-ja.com

JavaScriptをGitHub README.mdに埋め込む

GitHub READMEファイルにツイートを埋め込みたいのですが、Markdownがこれをサポートするはずですが、ツイートからコピーしたコードを追加すると、JavaScriptがレンダリングされません。

例:

<blockquote>...</blockquote>
<script async src="//platform.Twitter.com/widgets.js" charset="utf-8"></script>

何か案は?

33
Matt Smith

WebサイトでサードパーティからのJavaScriptを直接許可すると、XSS攻撃が大きく影響します。たとえば、JavaScriptコードを使用して、訪問者のgithubアカウントに関連付けられたCookieを取得し、悪意のあるエンティティに転送する可能性があります。

また、JavaScriptにアクセスできるということは、ビジターのCPUにアクセスでき、ポップアップやテキストの点滅などを実行できるという厄介な可能性もあります。

そのため、READMEでJavaScriptがサポートされていないのは当然です。 Markdownmayにはそれを行う方法がありますが、GitHubのようなWebサイトでは許可されません。

ただし、プロジェクトの github page がある場合は、メインのgithub Webサイトに属しておらず、ドメインが同じではないため、これを行うことができます。

23
coyotte508

Coyotte508の回答のフォローアップとして(申し訳ありませんが、直接返信するにはポイントが足りません):

Githubがこのような機能を有効にする場合、ReadTheDocsと同じ方法で、XSSに対する効果的な対策としてiFrameを使用できます。

編集:また、Github README.mdの代わりにreadthedocs.orgをチェックアウトすることもできます。それらは、最初のファイルへのJavaScriptの埋め込みをサポートしています。

8
D1plo1d