HatenablogのMarkDownのXSSみたいなの

一応下二つのリンクはアラートするだけですがクリックする場合は自己責任で

[a](javascript:alert\(1\);)

a

[b](data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=)
(実質 <script>alert(1);</script>)
Data URI Schemeの中ではdocument.cookieとかが無効なのでほとんど問題ないっぽい?

b

ちなみにQiitaやGistではjavascript:data:<MINETYPE> が書かれた場合リンクのhrefは無視されます。 自分が検証した限り(Gist Qiita Hatenablog)でははてなブログだけですね。