Meine Damen und Herren, habe ich Ihre Aufmerksamkeit?

Danke Dir,

so wie es hier mit der Vorschau aussieht, wird, <script> gar nicht ausgeführt. Oder habe ich was übersehen?

Du fügst die Benutzereingaben über innerHTML ein, wenn man <script>-Elemente als DOMString in das bestehende Dokument einfügt werden diese AFAIK nicht automatisch ausgeführt.

Für die anderen Methodoen Javascript einzubetten (onclick, href="javascript:") gilt das allerdings nicht.

Eine einfache XSS-Attacke auf dein Skript:

<img src="foooooo" onerror="alert('Ich bin ein XSS-Angriff');">