Hallo ,

Wenn du HTML-Dokumente zulässt, könnte ja auch darin
enthaltener Javascript-Code eine Gefahr darstellen - über
den sich dann bspw. die Cookies der Anwender klauen
lassen.

Das stimmt natürlich immer, sobald ich html-Dateien zulasse,

Auch Bild Datein koennen Code enthalten. Der Interner Exploid
schickt jede Datei die er bekommt, ungefragt, durch seine Script
Engine.
Das so etwas Natuerlich nicht so toll ist, ist klar.

Ich kann mich erinnern, das es vor ein paar Jahren ein Script in
einem Bild gab, welches das CD-Laumfwerk oeffnete...

da kann ich mir zumindest schon mal sicher sein, dass durch
das Verhindern von serverseitigen Skripten, auf meinem Server kein
Unfug getrieben werden kann.

Ebenso unsicher bin ich mir dabei, ob es Dateien auch mit
zugelassenen Dateiendungen (*.html, *.htm, *.jpg etc.)
irgendwie möglich ist, serverseitige Skripte auszuführen.
(Da hab ich eben zuwenig Ahnung von Skriptausführung auf dem
Server)

*.html, *.htm sind Moeglicherweise in der Lage Serverseitig Code
auszufuehren. Es kommt da drauf an, welche Datei-Typen du dem
Script-Interpreter gibst vgl. PHP Konfiuration des WebServers
oder Perl WebServer Configuration

AddType application/x-httpd-php .php  
AddHandler cgi-script .cgi

In beiden, kann ich ohne Probleme auch .html als ausfuehrbar
eintragen. Bei PHP ist es sogar ueblich. (Bei JSP und anderen
Techniken bin ich mir nicht so sicher, aber ich denke auch dort
geht sowat.)

Jetzt hast du 2 Moeglichkeiten, entweder HTML einfach so zu
erlauben.
  Oder in dein Script eine Regular Expression einbauen, die prueft
ob die Datei Verdaechtigen Code enthalten koennte, was die
bessere der beiden ist.
Alle Seiten die Code enthalten, werden :
  A) zurueck gewiesen
  B) Der Code wir aus dem Quelltext geloescht

Ist deine Entscheidung. Ich selbst tendiere eindeutig zu B.
Wenn du dazu Fragen hast, frag mich morgen, oder wen anderes
jederzeit.

gruesse aus'm (schlaefrigem ;) ruhrpott
  jens mueller