hi,

Mittels Code im "external.js" wird der der <div> Container "external_content" mit Inhalt versorgt.
In diesem Falle wäre dies ein kleines Anmeldeformular mit dynamischen Inhalt (deshalb auch der Weg über die externe JavaScript Quelle).
Die Anzeige funktioniert soweit ganz gut. Das XSS Problem tritt auf sobald das Formular abgeschickt werden soll.

Verständlicher?

Nein, weil dein Verständnis von "XSS" immer noch nicht mit der Realität übereinstimmt.

Wie _äussert_ sich denn das Problem?
Meinst du vielleicht gar kein XSS, sondern dass du an der Same Origin Policy scheiterst?

Dann übermittle die Formulardaten beim Abschicken nicht per Javascript, sondern "ganz normal". Ggf. muss der Nutzer eine Meldung bestätigen, dass die Informationen an eine andere Domain verschickt werden.

gruß,
wahsaga