はてなダイアリーリンク元ビューアにXSS脆弱性があるというご指摘をid:hoshikuzu様よりいただき、さきほど修正いたしました。

リンク元ビューアからリンク元ページへと移動する際、リファラを消すためgo.phpというリダイレクトページを利用していますが、このページが、GETで受け取った値を生のまま出力していました。

id:hoshikuzu様、ご指摘ありがとうございました。

(追記) 下のページにあるez_url_sanitize関数を使っては、とのアドバイスをid:hoshikuzu様にいただき、これをPHPで実装して利用しました。

• http://www.ipa.go.jp/security/awareness/vendor/programming/a01_02_main.html

PHP版は以下です。ご自身の責任で自由にご利用ください。

• http://www.teria.com/~koseki/memo/xss/ez_url_sanitize_php.txt