IEでHTML Attribute ValuesにJavaScriptを使えるか?

[上に] [前に] [次に]
zizz... [HomePage] 1999/09/15(水) 10:55:05
偶には質問。

http://developer.netscape.com/docs/manuals/js/client/jsguide/embed.htm#1013293
にある、HTMLの属性にJavaScriptの値を入れることについて。
value="&{statement};" という構文でJavaScriptを挿入するものです。

Netscape Navigator 3.0以上で有効なようですが、
Internet Explorerはどうなのでしょうか?

どうも手元のMSIE 4.01では効かないのようなのですが。
zizz... [HomePage] 1999/09/16(木) 21:53:53
誰も答えてくれませんね。

なぜ今頃こんな事を書くのかというと、Hotmailのセキュリティーホールの記事で "STYLEタグにJavaScriptを埋め込んだ" と書いてあったので、
「そういえばこんな方法もあった」とこの方法で実際にHotmailで実験してみたら、JavaScriptが無効にならなかったのです。
ちなみにSCRIPTタグ、タグ中に埋めこんだイベントハンドラ、<A HREF="javascript:foo">は既にブロックしてあります。

MSのHotmailだし、MSIEで有効でないと、と思ってMSIEで表示してみると駄目だったわけです。

MSのサイトで、JScriptのReferenceとDHTMLのReferenceは見つけたのだけど、
SCRIPTタグの書き方など基本的な部分が見つからない。
zizz... [HomePage] 1999/09/16(木) 22:38:40
世の中には同じ事を考える人がいるようで、
http://www.st.ryukoku.ac.jp/~kjm/security/memo/1999/1999-09-16.hotmail2.txt
にて既にこの問題は報告されいました。
zizz... [HomePage] 1999/09/16(木) 22:39:18
[[解決]]
結局自分で解決。
[上に] [前に] [次に]