| |
秀丸メールで、受信したHTMLメールの中のJavaScript類を無条件で除去するようにしてたんですが、今までは
<script>
...
</script>
とか、あと、<object ...>とかを除去してました。ところが、
<button onclick="alert('xxxx')">
みたいにonXxxx="...."って形でもJavaScriptを書けるので、これも除去しないとダメな気がしてきました。例えば最近の迷惑メールで、このonclick=を使って変なサイトに飛ばす物があったりします。
とりあえずそれを除去して「onXxxx=""」みたいにしてしまう処理を作ったんですが、こんなんでいいのやら?。という気がしてきました。
今ちょっと探したら、LinkedInって所から届くHTMLメールで「onclick="return false;"」みたいなことをやってるようではありました。
一応そういう修正を入れる予定ということで、何かご意見あったら書き込みお願いします。
|
|