Hi,

Werden die Ausgaben nicht in den HTML-Kontext gesetzt?

Wie meinen?

ich buchstabiere nochmal:

H T M L - K o n t e x t

Das ist das, worum es hier immer in den PHP-Beiträgen geht, die htmlspecialchars() empfehlen gegen Cross-Site-Scripting und sonstige Manipulationen. Ich denke, dass das Forum dagegen immun ist.

Ja, aber welche "Ausgaben"?

Es wird lediglich ein externes Script über ein SCRIPT-Element im Head referenziert. Darin kannst du ausgeben/erzeugen, was immer du willst.
Und das stellt auch keine XSS-Lücke dar - schliesslich bindest du das Script selber und nur für dich ein, könntest dir also höchstens selber damit ins Knie schiessen, wenn du wolltest.

Na, so klar ist das eben nicht gewesen, denn ich wollte ja eine Lösung für den Fall, dass ich NICHT am eigenen Arbeitsplatz sitze. Aber da die JS-Datei dann von meinem Webserver nachgeladen werden kann, könnte es funktionieren, wenn das die Policy des Browsers zulässt. Das weiß ich im Moment noch nicht.

Sofern du nicht von irgendwelchen speziellen Umgebungen redest - ja klar, das funktioniert. Machen doch zig Werbeeinblendungsanbieter oder auch Googles Analytics ebenso.
Das Dokument selber "ruft" das Script auf - also hat dieses auch alle Rechte, die andere eingebundene Scripte ebenfalls haben.
Ich nehme an, du spielst auf sowas wie die Same Origin Policy an - aber die gilt nicht für die *Herkunft* eines Scriptes, sondern nur ("anschliessend") für den Kontext, in dem das Script läuft, und das ist das aktuelle Dokument.

MfG ChrisB