| |
秀丸メールで、受信したHTMLメールの中のJavaScript類を無条件で除去するように
してたんですが、今までは
<script>
...
</script>
とか、あと、<object ...>とかを除去してました。ところが、
<button onclick="alert('xxxx')">
みたいにonXxxx="...."って形でもJavaScriptを書けるので、これも除去しないと
ダメな気がしてきました。例えば最近の迷惑メールで、このonclick=を使って変なサ
イトに飛ばす物があったりします。
とりあえずそれを除去して「onXxxx=""」みたいにしてしまう処理を作ったんです
が、こんなんでいいのやら?。という気がしてきました。
今ちょっと探したら、LinkedInって所から届くHTMLメールで「onclick="return fa
lse;"」みたいなことをやってるようではありました。
一応そういう修正を入れる予定ということで、何かご意見あったら書き込みお願い
します。
|
|