1. 普通にリンクからアクセスしても先頭のfeed:は消える。
feed:http://example.com/
2. ところがPOSTを経由するとfeed:がアドレスバーに残る。



3. たくさんつけても残る。



4. https:なページにhttp:のリソースを読み込んでも、Mixed Contentとしてブロックされる。
https://mkpocapp.appspot.com/bug1148732/victim
5. ところがfeed:をつけて、postでアクセスするとブロックされない。(CVE-2015-4483)



6. feed:+POSTでアクセスしたとき、location.protocolはfeed:になる。(このせいでGoogle Analyticsの貼り付けコードがやばい)