— SATtva (20/06/2009 22:35)   
Не могу воспроизвести. Какие конкретно критерии поиска ты используешь?

— Гость (20/06/2009 22:57)   
Опа. XSS вроде.

Надо проверить.

<h1>test</h1>

— Гость (20/06/2009 23:04)   
В результатах поиска html не фильтруется. Комментарий выше – пример. Просто на странице теги выводятся как текст; если найти комментарий поиском, то "test" будет выведено как заголовок. По словам "Opera браузер" находится эта новость^[link1], где есть пример метатега для редиректа. Он и исполнялся.

— SATtva (20/06/2009 23:08, исправлен 21/06/2009 00:06)   
Это не XSS, поскольку в поисковую выдачу попадают данные, уже обработанные парсером и содержащие "чистый" html. Вернее даже, в самой поисковой выдаче исходные данные повторно обрабатываются парсером. Т.е. какая разметка была в исходном документе, такая отображается и там. Полный гон с моей стороны.

— Гость (20/06/2009 23:37)   
Если найти комментарий выше в поиске, то последняя строка будет заголовком. Если найти новость про уязвимость в Oper'е, то вставленный как текст meta-тег refresh будет исполнен броузером. Как я понимаю, можно вставлять произвольный html и это – самая настоящая XSS.

Позвольте ещё раз посмотреть.

<script type="text/javascript">alert("test")</script>

— Гость (20/06/2009 23:41)   
Вот, пожалуйста (включите JavaScript):

https://www.pgpru.com/poisk?text=alert+test

— SATtva (20/06/2009 23:49)   
Да, Вы правы.

— SATtva (21/06/2009 00:00)   
Текст обрабатывался неподходящим форматтером. Спасибо, что обратили внимание. Ошибка исправлена.

— Гость (21/06/2009 00:03)   
Это Kent заметил, все благодарности – только ему. Спасибо!