挙動を確認するため適当に書いてみた。
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="ja" lang="ja"> <head> <meta title="hogehoge" /> </head> <body> <p>xxxx</p> <p><p>xxxx</p></p> <!-- zzzz --> <!-- <script type="text/javascript">alert("1234")</script> --> <![CDATA[yyyy]]> <![CDATA[<p>abc</p>]]> <![CDATA[<script type="text/javascript">alert("1234")</script>]]> <![CDATA[<!-- hogehoge -->]]> <![CDATA[<!-- hogehoge <p>zzz</p> -->]]> <![CDATA[<!-- hogehoge <p>xxxx</p> -->]]> </body> </html>
これを Content-Type: text/html としてブラウザで表示させると
xxxx <p>xxxx</p>
xxxx <p>xxxx</p> yyyy <script type="text/javascript">alert("1234")</script> <p>abc</p> <!-- hogehoge --> <!-- hogehoge <p>zzz</p> --> <!-- hogehoge <p>xxxx</p> -->
いずれもalert()は発動しない.