<div dir="ltr"><div>I am not sure - the sandbox should not allow any scripts at all, that is my only requirement. More advanced requirements can be taken care of server side. </div>
<div> </div>
<div>The issue I want sandbox for is that it allows us to introduce other ways to embed scripts in tags in the future. Imagine this becoming legal in HTML 6 for some reason:</div>
<div> </div>
<div><td colspan='javascript(a + 5)'></td></div>
<div> </div>
<div>Where a javascript returns the value in the colspan attribute. Many server side HTML sanitizers would have to be updated - unless we introduce a proper sandbox.</div>
<div> </div>
<div>Of course a white list could be nice - but sending a list of 50+ tags for each item in a guestbook is a bit much. CSS syntax could be used for such a whitelist; a[href],span[style],area[alt|href] etc. With no whitelist - everything should be allowed, except scripts.</div>

<div> </div>
<div>Frode<br><br></div>
<div class="gmail_quote">2008/7/23 James Ide <<a href="mailto:ide@berkeley.edu">ide@berkeley.edu</a>>:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div dir="ltr">
<div class="Ih2E3d">On Tue, Jul 22, 2008 at 3:22 PM, Frode Børli <<a href="mailto:frode@seria.no" target="_blank">frode@seria.no</a>> wrote:<br></div>
<div class="gmail_quote">
<div class="Ih2E3d">
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0pt 0pt 0pt 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid">The server must escape all user generated content by replacing < with<br>&lt; etc. This is perfectly secure for all existing browsers. The<br>
sandbox instructs the browser to unescape. Completely fail safe for<br>all.</blockquote></div></div></div></blockquote></div></div>