Wikiのリンク構文と画像構文で // から始まるプロトコルを省略したURLを利用できるようにしようとしたのですが、
リンク構文で　'"
画像構文で '"<>
が埋め込める問題があることに気づきました。

編集権限があれば、
リンク構文でイベント駆動JavaScript等の属性
画像構文で<script>等のあらゆるタグ
が埋め込めました。

無効化しました。
スペース等の非表示文字も埋め込めましたが、ブラウザによっては問題になるかもなので無効化しました。


当初の目的の // から始まるURLにも対応しました。

ユーザーサイトをhttps://で接続できるようになりました。
ブログ・Wiki・掲示板対応です。

問題無さそうな感じですが、負荷が気になるので場合によっては廃止します。

各ユーザーサイトの基本設定からHTTPSの項目で設定できます。

• HTTPSは無効
• HTTPが標準
• HTTPSが標準
• HTTPSを強制

の4タイプに設定できます。
強制の場合はリダイレクトされて Strict-Transport-Security ヘッダが出力されます。
無効の場合はHTTPS接続がエラーになります。
標準の場合はcanonicalやFeedの出力URLが変わります。

変更により不具合が生じる箇所などにお気づきでしたらご報告お願いします。

ブログ説明書にブログエディターでURL文字列を選択した状態で<A>をクリックすると初期状態でhref属性の値になるように記載されていましたが、
この機能無くなっていました。

再度つけました。

ユーザーサイトもSSL対応できそうなんで、ユーザーサイトの出力等に変更行いました。
また、現時点で https://ユーザードメイン/ で一応接続可能です。

テンプレート変数
&$BlogTop;
&$CSS;
&$FeedAtom;
&$FeedRss1;
&$FeedRss2;
がこれまでは http:// から始まるURLを出力していましたが // から始まるURLを出力するようになりました。

&$Canonical; は現時点では http:// からのURLを出力します。
設定で https:// に変更できるように考えています。
SSL設定の場合はHSTSをやるかもしれません。

公式テンプレートに埋め込まれているリンク先も // から始まるように変更されています。
非公式テンプレートをお使いの方は、必要なら対応してください。

JavaScript APIのリンク先も // から始まる感じになっています。


Wikiと掲示板も同じようにします。

公式サイトの大部分をhttpsで接続できるようにしました。

SSLで接続できるようになったドメインは、
www.rentafree.net
js.rentafree.net
file1.rentafree.net
css.rentafree.net
cgi.rentafree.net
ad.rentafree.net
です。

どっちでもつながります。
負荷が厳しいようなら見直します。

ユーザードメインは今の所SSLでの接続はできません。
ちょっと難しいです。

元々SSLだったssl.rentafree.netはそのままです。
セキュリティ上、クロスドメインにしたい箇所なので。