Hallo zusammen,

ich möchte auf meiner Webseite E-Mails anzeigen. Um es nicht ewig zu erklären, was ich machen will, sagen wir einfach mal, dass ich einen Webmailer programmiere.

Nun zeige ich HTML-Mails einfach in einem iframe an. Dies ist leicht umzusetzen, öffnet aber Tür und Tor für Cross-Site-Skripting. Ich würde also gerne das JavaScript der Mail deaktivieren/blockieren/filtern oder zumindest verhindern, dass es aus dem iframe ausbrechen kann.

Auf der Suche nach einem iframe-Attribut, dass den Inhalt quasi einsperrt, habe ich nichts gefunden.

Nun befürchte ich, dass ich mit PHP den Quellcode erst filtern muss. Da bin ich skeptisch, ob man das mit regulären Ausdrücken zuverlässig hinbekommt.

Kennt sich jemand damit aus und hat einen Tipp? Vielleicht PHP-Code, den ich nutzen kann oder eine JavaScript-Bibliothek oder sonst einen Trick?

Vielen Dank!