<br><br><div class="gmail_quote">On Wed, May 21, 2008 at 5:30 PM, Ian Hickson &lt;ian@hixie.ch&gt; wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
I&#39;m thinking of introducing a<br>
new attribute. I haven&#39;t worked out what to call it yet, but definitely<br>
not &quot;src&quot;, &quot;source&quot;, &quot;src2&quot;, &quot;content&quot;, &quot;value&quot;, or &quot;data&quot; -- maybe<br>
&quot;html&quot; or &quot;doc&quot;, though neither of those are great. This attribute would<br>
take a string which would then be interpreted as the source document<br>
markup of an HTML document, much like the above; it would override src=&quot;&quot;<br>
if it was present, allowing src=&quot;&quot; to be used for legacy UAs:<br>
<br>
 &nbsp; &lt;iframe seamless sandbox=&quot;allow-scripts allow-forms&quot; doc=&quot;<br>
 &nbsp; &nbsp; &lt;!DOCTYPE HTML&gt;<br>
 &nbsp; &nbsp; &lt;title&gt;&lt;/title&gt;<br>
 &nbsp; &nbsp; Welcome to my blog!<br>
 &nbsp; &nbsp; &lt;/sandbox&gt;<br>
 &nbsp; &nbsp; &lt;a href=&#39;#&#39; onclick=&#39;alert(document.cookie)&#39;&gt;Click here&lt;/a&gt;<br>
 &nbsp; &quot;&gt;&lt;/iframe&gt;<br>
<br>
(There are things we can do to make this better, e.g. make the &lt;!DOCTYPE<br>
HMTL&gt; and &lt;title&gt;&lt;/title&gt; bits implicit, maybe introducing type=&quot;&quot; to say<br>
whether it&#39;s HTML or XML instead of only supporting HTML, maybe saying<br>
that if src=&quot;&quot; and doc=&quot;&quot; are both specified they must have identical<br>
data, etc.)<br>
<br>
Comments and suggestions on this are welcome. I haven&#39;t added it to the<br>
spec yet. I do agree that without this or something equivalent that we<br>
don&#39;t have a solution for sandboxing embedded blog comments yet.<br>
</blockquote></div>I&#39;m trying to find the part of the spec where this is stated explicitly, but aren&#39;t attributes limited to ascii text?&nbsp; If this is intended (among other things) to embed blog comments, this is no good - more than just us English-speakers write comments.&nbsp; Assuming I&#39;m not remembering this whole thing wrong, we either need to require an encoding that can preserve non-ascii text without breaking (essentially, the data URI route), or go another way entirely.<br>
<br>~TJ<br>