Hello,

<link rel="stylesheet" type="text/css" href="http://bitworks.de/~response/checkup.css">
eine externe CSS-Ressource einbinde, ist dann sichergestellt, dass nicht doch ggf. HTML oder JavaScript-Code injiziert werden kann?

Beim Internet Explorer war es zumindest eine Zeitlang so, daß bei
<img src="irgendeineUrl.jpg">
wenn die irgendeineUrl.jpg aus Javascript bestand, dieses tatsächlich ausgeführt wurde.

Weißt Du noch die Versionen?

Die gleiche Frage gilt natürlich analog für
  <script src="quadrat.js" type="text/javascript">

Hier wird natürlich Javascript geladen. Das ist doch der Sinn der Sache ...

Klar, aber man könnte ja auch weiteres HTML hinterherschieben oder ein PlugIn unterjubeln, das dann macht es es will.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom