verhindern, dass Frickl script-Elemente in einem Attribut ausliest
bearbeitet von JuliusMoin!
Aufgrund von [Marcs Beitrag](https://forum.selfhtml.org/self/2017/apr/5/kennt-ihr-alle-html-geheimnisse/1691469#m1691469) und dem dort verlinkten Vortrag habe ich mich mit dem neuen `srcdoc`-Attribut beschäftigt und festgestellt, dass die [betreffende, kurze Erklärung im Wiki](https://wiki.selfhtml.org/wiki/HTML/Multimedia_und_Grafiken/Aktive_Inhalte_einbinden#srcdoc) falsch und die [Referenz](https://wiki.selfhtml.org/wiki/Referenz:HTML/Attribute/srcdoc) zumindest missverständlich _waren_. Das habe ich – hoffentlich auch _korrekt_ – verbessert.
Allerdings liest Frickl dummerweise `script`-Elemente aus, auch wenn sie sich – wie im [Beispiel](https://wiki.selfhtml.org/wiki/Beispiel:HTML_iframe-Element-src-sandbox.html) – in einem Attributwert befinden:
~~~html
<p>Im folgenden iframe wird kein JavaScript ausgeführt:</p>
<iframe srcdoc="JavaScript? <script>alert('Hallöle!');</script><noscript>...kein JavaScript...</noscript>" sandbox></iframe>
~~~
Gibt es dafür eine Lösung (`script`-Elemente nicht parsen, falls sie sich innerhalb eines Attribut-Werts befinden?). Ich habe vorerst < und sicherheitshalber auch > escaped, aber eine allgemeine Lösung wäre natürlich – sofern realisierbar – vorzuziehen:
~~~html
<iframe srcdoc="JavaScript? <script>alert('Hallöle!');</script><noscript>...kein JavaScript...</noscript>" sandbox></iframe>
~~~
Gruß
Julius