1100

SBM 用の埋め込みコードでの a#href から，各種 share ボタン用の data-* 属性へと起点が移り始めている印象

• API の URL にクエリとして渡すとき encodeURIComponent するのはなんとなく理解されてるんだろうけど
• innerHTML と document.write に渡すときに HTML としてエスケープする，というかしないと目的が達成できずに xss されるってのがそれほど理解されてない気がする
• setAttribute() ならそのまま DOM 上の文字列にできるけども，innerHTML と document.write は HTML 文書上の文字列にしかならなくて DOM への変換が入るっていうのが意識にない