<HTML><BODY style="word-wrap: break-word; -khtml-nbsp-mode: space; -khtml-line-break: after-white-space; "><BR><DIV><DIV>On 23 Oct 2006, at 7:13 PM, Konstantin Käfer wrote:</DIV><BR class="Apple-interchange-newline"><BLOCKQUOTE type="cite"><P style="margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px Helvetica; min-height: 14.0px"><BR></P> <P style="margin: 0.0px 0.0px 0.0px 0.0px"><FONT face="Helvetica" size="3" style="font: 12.0px Helvetica">The reason why filter.module removes style tags is simple: some dumb browsers allow JavaScript inside stylesheets, for example "font-size:expression(prompt('Enter a font name:', 'Arial'));". Using that you could execute potentially harmful JavaScript code that allows for XSS.</FONT></P> </BLOCKQUOTE></DIV><BR><DIV>and using the full html 'filter' lets them do that without having to jump through hoops even.</DIV></BODY></HTML>