Nallo dedlfix,

Er hat da als Beispiel unter anderem

alert(/XSS/)

angegeben. Der Firefox schreibt daraufhin /XSS/ ins Alert-Fenster. Das kann man ja auch schon in der Fehlerkonsole probieren. Aber was hat es damit auf sich? Es muss irgendwas regulär ausgedrücktes sein ...

/XSS/ ist in JS die Literal-Schreibweise für einen regulären Ausdruck. Du kannst z.B. /XSS/.match () machen oder sowas ähnliches.

alert() akzeptiert nur Strings. Also wird das Reguläre-Ausdruck-Objekt wieder in einen String konvertiert. Und für RegExp-Objekte ist das in JS halt die Darstellung, die auch im Source vorkommt, zumindest im FF. Paste doch mal folgendes in Deine FF-Adresszeile:

alert(new RegExp('XSS'))

Viele Grüße,
Christian