Hallo Felix,

Bei meinem Vorschlag muss niemand irgendetwas hochladen. Er editiert Text (oder auch Code im Text) und fertig. Das System generiert den Link zum live-Beispiel und wertet die Parameter des Links entsprechend aus.

Also verstehe ich Dich richtig? Der User schreibt sowas wie (schemenhaft):

<<code>>
<html>
  <title>Test</title>
  <p>Test</p>
</html>
<</code>>

und dann wird ein automatischer Link generiert, der genau das anzeigt, was da eingegeben wurde?

Das ist doch *genau* das (abzüglich IFrame), was Stefan bereits auf seiner WikiDot-Seite hat. (Und was ich schon kritisiert habe.)

Ich glaube, wir diskutieren auf zwei völlig verschiedenen Ebenen. Mir geht es *überhaupt nicht* darum, ob jemand den Code schon beim Bearbeiten der Seite eingibt und da automatisch was extrahiert oder jemand in einem separaten Schritt etwas hochlädt - das hat ÜBERHAUPT nichts mit dem Problem zu tun, um das es mir hier geht, das ist beides VÖLLIG ÄQUIVALENT aus meiner Perspektive.

Mir geht es darum, dass wenn jemand irgendwo HTML-Code hochladen oder eingeben oder was auch immer kann und dieser Code dann später vom Server wieder als HTML-Seite an den Browser ausgeliefert wird, *DANN* hast Du potentielles Cross-Site-Scripting. Das ist es, was ich mit "hochladen" in diesem Zusammenhang meine: Den Server irgendwie dazu zu bringen, HTML-Code ungefiltert als eigenständige HTML-Seite auszuliefern. Ob das jetzt aus einem Textfeld extrahiert wird oder jemand eine reale Datei in ein Upload-Formularfeld steckt, ist aus Sicherheitsgründen *völlig* irrelevant.

Wenn Du etwas anderes meinst, dann würde ich Dich bitten, mal ein paar Beispiele zu machen, was Du haben willst, denn dann habe ich überhaupt nicht verstanden, worauf Du hinauswillst.

Viele Grüße,
Christian