○:実行される ×:実行されない (バージョンは執筆時点での最新版, OSはWindows XP) ご覧のとおり、ブラウザによって異なる結果になっています。HTMLの構文解析はブラウザによって解釈の異なる部分もあるため、解析しきれないというのが現実です。また、今後各ブラウザがいつ仕様変更されるかもわかりません。 次に以下をご覧ください。攻撃者は以下のようなHTMLを挿入してくることが考えられます。 <H2/onmouseover=alert('xss')>見出し</H2> <H2 onmouseover=alert('xss')>見出し</H2> <H2 style="{javascript:expression(alert('xss'))}">見出し</H2> <H2 style="{a:expression(alert('xss'))}">見出し</H2> <H2 style="{ja
![第8回 Wikiのセキュリティ | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/8017528ec50969dbe30aaf48b96ac4694bc14457/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2007%2F049_web20.png)