Lieber Sven,

Es ist für den einfachen Programmierer daher immer eine extrem gute Idee, Kontextwechsel zu vermeiden und immer passend zu Escapen. Insbesondere Text, der immer als harmlos betrachtet werden kann, auch wenn er vielleicht genau die gleichen Zeichen enthält, wie Javascript-Schadcode, darf deshalb niemals als etwas anderes, als Text wirksam werden (insbesondere nicht als Javascript).

sehr fachlich hilfreiche Sachen schreibst Du da! Das sollte das Credo eines jeden Programmierers sein!

Liebe Grüße aus Ellwangen,

Felix Riesterer.