HTML を無害化したいとき、style アトリビュートを問答無用に捨ててしまうのが主流なのだと思うのですけど、次のように HTML 用に記述内容を制限して利用可能にしたらどうだろうかと考えつつあります。 (2月7日 修正あり) 許可するもの: IDENT を構成する文字をアルファベット・数字・マイナス・アンダースコアに限定 declaration は単位付き数値と keyword と hexcolor だけ term 間はスペースとコンマとスラッシュだけ スペースはブランク文字、タブ、LF、CRだけ 文字エスケープ、url、関数、文字列は不許可にします。 W3C の CSS2.1 の構文から、関連する部分を抜き出して上のルールに沿って不要なものを削ってみます。 ⇒ http://www.w3.org/TR/CSS21/grammar.html ruleset : S* declarati
