Tenemos algunos códigos que eliminan atributos y etiquetas "peligrosos" de HTML. Me di cuenta de que style está entre la lista de atributos "peligrosos". ¿Cuál podría ser el riesgo de ese atributo?estilo considerado dañino?
Es posible hacer cosas que son invisibles o de lo contrario muy engañosas usando hojas de estilo. Por ejemplo, podría colocar un enlace de ancla gigante e invisible sobre toda la página para que cuando el usuario haga clic en algo, se lo lleve a una página idéntica en un servidor en Rusia.
En IE puede incluir @behaviors que puede cargar pequeños Javascripts.
Con CSS3 también puede insertar pedacitos de texto, lo que podría ser peligroso según su sitio web.
Aquí está an example of a bug in MediaWiki que crea una vulnerabilidad basada en los atributos de estilo en línea.
¿Cuál es la base del código que realiza la eliminación? ¿Fue desarrollado en casa o por un comité de estándares (por ejemplo)? – wallyk