1. 普通にリンクからアクセスしても先頭のfeed:は消える。 feed:http://example.com/ 2. ところがPOSTを経由するとfeed:がアドレスバーに残る。3. たくさんつけても残る。 4. https:なページにhttp:のリソースを読み込んでも、Mixed Contentとしてブロックされる。 https://mkpocapp.appspot.com/bug1148732/victim 5. ところがfeed:をつけて、postでアクセスするとブロックされない。(CVE-2015-4483) 6. feed:+POSTでアクセスしたとき、location.protocolはfeed:になる。(このせいでGoogle Analyticsの貼り付けコードがやばい)