Struppi+2007-09-26 08:54:01--na, einfach alles was zwischen <script ..> und </script> steht ausfiltern (das language Attribute ist übrigens seit 1998 mißbilligt, in einem Skript Tag muss nur das type Attribut definiert werden) und alle on... attribute rausschmeissen sollte reichen.
sicher? was ist mit
<a href="javascript:foo()">
was ist mit CSS? irgendwas vergisst man immer.
wenn ich die möglichkeit hätte, würde ich sowas mit dem whitelist-prinzip machen.
also sagen, was explizit erlaubt ist. d.h. einfache <b> tags, <table> etc, aber halt
keine attribute oder nur wenige. somit kann man dieses minimale HTML prima parsen
und den rest einfach rauswerfen/escapen.
sowas hätte auch ebay machen sollen...