Hi,

Genau so wie du es bereits an einer anderen Stelle getan hast: maskiere den Slash mit einem Backslash.

Sollte nicht eher das '<' maskiert werden?

Nein. Die Zeichenfolge "</" beendet lt. Standard (siehe http://www.w3.org/TR/html4/types.html#idx-CDATA-1) den Scriptbereich. Wenn statt "</script>" jetzt "</script>" dasteht, ändert das nichts am Vorhandensein der Zeichenfolge "</". Bei "</script>" ist sie aber nicht mehr vorhanden.

Selbst wenn sich die Browser nicht an den Standard halten und nicht beim ersten "</" aufhören, sondern erst bei "</script>", hilft ein "" vor dem "<" nichts, da ja nach wie vor "</script>" dasteht.

Und weist nicht das Einfügen eines 'script'-Elements mit JavaScript auf einen schweren konzeptionellen Magel hin?

IMHO: ja.

cu,
Andreas