Die Sicherheitslücke (= die Möglichkeit von Cross-Site Scripting) besteht zwar in allen JS-fähigen Browsern und ist eigentlich bekannt, wird aber aus kommerziellen Gründen nicht wirklich als Sicherheitslücke angesehen, weil ...

... so das internet funktioniert, man betrachtet Inhalte im Browser von anderen Servern. Du kannst auch Flash oder Java Code und sogar Bilder von einer fremden Domain einbinden, willst du das unterbinden?

Wie wir schon mal diskutiert haben, es ist deine Entscheidung Skripte von einer fremden Domain einzubinden oder nicht. Aber seit wann wird XSS nicht als Sicherheitslücke gesehen?

Struppi.