下位互換か需要の必要性があってか、IE7でもCSSのexpressionが使える。このexpressionというのはJavaScriptが書けてしまうので、XSSの事例とかでよく題材にされる。以下のページに解かり易く書いてある。
WebAppSec – WebAppSec Wiki – IEのexpressionとurl
最新のIE6とIE7では、url内にJavaScriptを書いても反応しないようだけど、expressionは使える。XSSの話は置いておいたとしても、どういう場面で効果的なんだろうか。いまいち使い方が想像できない。
IE6 で対応していないcss :afterやら :before A:hover以外の:hoverなどをJavaScriptで自前で用意できるところで効果的ですね。セキュリティ的にどうなのよって感じはしますが。。。