Bereinigen aller Inline-Ereignisse von HTML-Tags
Für die HTML-Eingabe möchte ich alle HTML-Elemente mit Inline-Js neutralisieren (onclick = "..", onmouseout = ".." usw.). Ich denke, ist es nicht genug, die folgenden Zeichen zu kodieren? =, (,)
Also onclick = "location.href = 'ggg.com'"
wird auf% 3D "location.href% 3D'ggg.com" geklickt
Was vermisse ich hier?
Bearbeiten: Ich muss aktives HTML akzeptieren (ich kann es nicht alle oder Entitäten es ist).