Structure Wikiはobjectが有効なので管理モードを付ける為には安全を重視しないといけない。
んでdataスキーマが気になって試しにを埋め込んでみたら見事にクッキーが表示された。(@Fx1.5 beta 2)
さてどう対策したもんかな(text/htmlやapplication/xhtml+xmlを無効にするだけでは将来的にimage/svg+xmlやtext/xml、application/xmlがクッキーをサポートした時に問題になる。)
とりあえずjavascriptとdataスキーマを弾く%s0を導入すればいいだけか。
でもdataスキーマはリファラを送らないで転送できるので凄く便利なんだけどなぁ…