Yerf!

und wie mach ich das am Besten?
Muss ich jeden Event einzeln mit einer RegEx rausfiltern?

Man könnte sich zunutzen machen, dass alle Events mit on beginnen.

Allerdings würde ich auch die <script>-Blöcke komplett entfernen und mich nicht darauf verlassen, dass ein zerstückeltes type-Attribut die Ausführung verhindert (die Fehlerkorrektur der Browser wird da anderer Meinung sein).

Gruß,

Harlequin