まあIEですから。jsonのレスポンスでタグをエスケープしてないとIEでXSSできてしまうという話。 {test: "<html><script>alert(document.cookie)</script></html>"}こんな感じのレスポンスを返すページをIEで読ませる。 test.py #!/usr/bin/env python from wsgiref.simple_server import ma…