XSSについて
XSS(クロスサイトスクリプティング)について。
以下の関数ではWiki上からの編集でJavaScriptコードなどを実行できると思いますので、
管理者以外が編集できるように設定している場合は注意してください。
pluginディレクトリからファイルを削除すると、ファイル名の関数は無効になります。
引数がHTMLコードとしてそのまま出力されます。
JavaScriptに限らず、<meta>タグなども出力できます。
上記関数はCSSの指定用の関数なので、引数にCSSを記述できます。
IE6,IE7のexpressionを使用すればJavaScriptコードを埋め込めると思います。
IE8以降や他のブラウザではexpressionは機能しないと思います。
JavaScriptコードを埋め込むことは想定していない関数ですが、
エスケープ困難と思いますので、今のところ対策する計画はありません。