この問題は、JVN#F88C2C13 (JVN#89DE2014の情報を追加) で対応されたパターン以外のスクリプトが実行可能である問題です。 以前指摘されて修正したはずの問題が別のパターンで可能だったという話のようです。実のところ、ブラウザベースのアプリケーションで HTML メールを安全に表示するというのはメチャクチャ大変なことなので、仕方ないのかなという気もします。 私が経験した事例では、HTML メールではありませんが、こんなケースがありました。 まずは HTML が添付できる掲示板の事例。 添付された HTML は本文の一部として表示されるが、<script> などの危険なタグは削除されるというサニタイズ処理しかし <<script> などと書くと何故か貫通修正されたが、今度は <scr<script>ipt> などと書くと貫通修正されたが、また別の方法でスクリプトが書ける事が発