枕を欹てて聴く

香炉峰の雪は簾を撥げて看る

XSSの危険性を除く正規表現って

正規表現難しすぎる。GReader Full Feedの正規表現見て、自分がいかに都合のいいHTML考えてたかが実感できた。今のLDR Full Feedのでは全然XSSの危険性を除けたとはいえない。removeXSSRiskなんて名乗ってすいませんってかんじすらする。
正規表現でやる前にDOM操作からやろうと思って、

function removeXSSRisk (htmldoc) {
 var embeds = htmldoc.getElementsByTagName("embed");
 if (embeds) {
   Array.forEach(embeds, function(elm){
       elm.allowScriptAccess = "never";
       // alert(elm.allowScriptAccess);
       });
 }
}

なんてのもやってみたけどalertではneverって出るのになぜかFirebugでみると変換されてない。そこで現在の正規表現にいたったんだけど…。
何とかできないかな。