Mastodon の embed、よくわからないドメインがホストしている iframe を読み込む上に、ハッシュ値も何も入れずによくわからないドメインがホストしているスクリプトを読み込ませる仕様なのでだいぶ怖くない?という感じではある