<p>I&#39;d totally misunderstood the problem. That&#39;s all pretty scary. Thanks for putting me straight.</p>
<div class="gmail_quote">On Sep 9, 2012 10:57 AM, &quot;Matthias BUSSONNIER&quot; &lt;<a href="mailto:bussonniermatthias@gmail.com">bussonniermatthias@gmail.com</a>&gt; wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Le 8 sept. 2012 à 23:09, Carl Smith a écrit :<br>
<br>
&gt; I&#39;m not sure, but I don&#39;t think you can do cross-scripting in Chrome. Maybe other browsers will make this concern mute too. I&#39;m not certain, but that&#39;s what I thought. I&#39;m on my phone so I can&#39;t do much to look into it right now.<br>

<br>
Well, If I understand XSS it is pretty trivial to do with python notebook as we allow to embed script in .ipynb files.<br>
They might not be executable but a simple notebook with in a markdown cell :<br>
<br>
&lt;a href=&#39;onclick=function(){alert(&#39;hello&#39;)}&#39;&gt; click me &lt;/a&gt; should work.<br>
moreover you can embed iframes, ...Etc.<br>
<br>
So could forge a malicious ipynb file and ask you to view it through <a href="http://nbviewer.ipython.org" target="_blank">nbviewer.ipython.org</a>.<br>
<br>
assuming you are logged to <a href="http://nbviewer.ipython.org" target="_blank">nbviewer.ipython.org</a>, the scripts in this notebook has all your rights.<br>
<br>
For me, this is XSS.<br>
<br>
I won&#39;t imagine what people would try to do if you know that JS can send code to execute on the server side !<br>
--<br>
Matthias<br>
<br>
<br>
&gt;<br>
&gt; _______________________________________________<br>
&gt; IPython-dev mailing list<br>
&gt; <a href="mailto:IPython-dev@scipy.org">IPython-dev@scipy.org</a><br>
&gt; <a href="http://mail.scipy.org/mailman/listinfo/ipython-dev" target="_blank">http://mail.scipy.org/mailman/listinfo/ipython-dev</a><br>
<br>
_______________________________________________<br>
IPython-dev mailing list<br>
<a href="mailto:IPython-dev@scipy.org">IPython-dev@scipy.org</a><br>
<a href="http://mail.scipy.org/mailman/listinfo/ipython-dev" target="_blank">http://mail.scipy.org/mailman/listinfo/ipython-dev</a><br>
</blockquote></div>