Meine Damen und Herren, habe ich Ihre Aufmerksamkeit?
Danke Dir,
so wie es hier mit der Vorschau aussieht, wird, <script> gar nicht ausgeführt. Oder habe ich was übersehen?
Du fügst die Benutzereingaben über innerHTML ein, wenn man <script>-Elemente als DOMString in das bestehende Dokument einfügt werden diese AFAIK nicht automatisch ausgeführt.
Für die anderen Methodoen Javascript einzubetten (onclick, href="javascript:") gilt das allerdings nicht.
Eine einfache XSS-Attacke auf dein Skript:
<img src="foooooo" onerror="alert('Ich bin ein XSS-Angriff');">
--
“All right, then, I'll go to hell.” – Huck Finn
“All right, then, I'll go to hell.” – Huck Finn