Hallo Martin

Falsch. Es zeigt den Text "<script>alert('CSS Vulnerable')</script>" an der Stelle an, an der der Feldinhalt ausgegeben wird, führt aber kein Script aus. Da ist ja nirgends ein script-Tag, sondern nur ein maskiertes Kleiner-Zeichen, das Wörtchen "script" und ein ebenso korrekt maskiertes Größer-Zeichen.

Ich habe es offensichtlich noch nicht deutlich genug gesagt:
Es wird eben wohl das Script ausgeführt!!!

Leider kann ich den Fall heute nicht weiter bearbeiten. Werde den Quellcode wohl Stück für Stück in einer Testdatei aufbauen müssen und schauen, ab wann dieser Fehler auftritt.

Derzeit geschieht nach dem Abschicken des Formulars, dass _zuallererst_ bevor irgendetwas angezeigt wird (weiße Seite im Hintergrund), dass für jedes gehackte Feld ein Alert ausgegben wird und mit O.K. bestätigt werden muss.
Sind alle Alerts ausgeführt, wird die Seite geladen.

Dies geschieht offensichtlich unabhängig vom Abfragen der Variablen var.
Selbst, wenn das Formular var sendet, ohne dass das Script diese Variable jemals abfragt, geschieht was ich oben beschrieben habe!

O.K. ich mach mal für heute Schluß - vielleicht hat bis morgen jemand eine Erklärung - oder die Seite http://www.technicalinfo.net/papers/CSS.html begriffen...

Habt eine gute Zeit
       *Alex*