Yahoo!メールのXSSによるワームの話

<img> の onload イベントというのに何か既視感を覚え、どこか引っかかっていたのですが、ようやく発見しました。
■Yahoo!メールの各種脆弱性の修正完了 − hoshikuzu | star_dust の書斎 (2006年3月16日):

Yahoo!メールでは style 要素の onload 属性という、虚(きょ)をついた常識に反する記法が許されており、一部ブラウザがこれを認識し、悪意あるJavaScriptのコードを作動せしめることが可能でした。

なるほど。もともとなぜか onload イベントに対するフィルタが甘かったということでしょうか…。利用可能な属性をホワイトリストで持っているのではなく、属性として禁止すべきブラックリストがタグの種別(要素)ごとに定義されてるんでしょうかね。で、たまたま style と img では onload の禁止が漏れていた、と。