<img src="javascript:alert()">这个没过滤

[tabris17]

如果没记错的话，IE6是会执行这段js的

[phith0n]

浏览器版本：IE7+ 或其他浏览器，无法防御IE6及以下版本浏览器中的XSS

IE6~8中有太多你意想不到的特性，不光是你说的这个。为避免伤害高雅，不建议兼容IE6~8。 建议使用python-xss-filter的网站严禁IE6浏览器访问。

[tabris17]

顺便一提，另外还有两个CSS相关的： style="background: url('javascript:alert')" style="behavior:url('xss.htc')"

不过也都是IE下的，第二个应该IE高版本也会触发

[upczww]

[phith0n]

style="behavior:url('xss.htc')" 需要同源下的xss.htc才能触发。 style的过滤后面慢慢增加吧，不光是xss问题，style属性还会带来很多别的问题，所以建议暂时在源码中去除style属性的支持。