Hallo Stefan,

OK, danke für die Ernüchterung! :-)
Ich werde das auch mal an Wikidot melden (also um auf die Problematik hinzuweisen).

Die wissen das sicher schon. Die liefern das ja nicht ohne Grund von einer anderen TLD aus, damit eben Same Origin Policy greift und deswegen kein direkter JS-Zugriff auf die eigentliche Seite sowie kein Abgreifen von Cookies möglich ist. Das ist dann natürlich schonmal deutlich besser als wenn das wirklich "richtiges" XSS wäre, aber ich halte das in seiner jetztigen Ausführung schon für extrem problematisch. (Die Betreiber von WikiDot sind da offensichtlich anderer Meinung.)

Man kombiniere das obige z.B. mit einem Browserbug, dass die Same-Origin-Policy nicht korrekt forciert wird (gab's ETLICHE quer durch die Landschaft in der Vergangenheit), und schwupp, man hat richtiges XSS...

Als Gegenargument kann man da höchstens noch anführen, dass Schadcode-Injizierung zwar sehr ärgerliche Folgen für betroffene User haben kann, aber aus Betreibersicht letztlich weniger problematisch als wenn z.B. in einer stillen Stunde jemand die Erläuterungen zu Überschriften in HTML mit einem nazistischen Pamphlet überschreibt, das zur Judenhatz aufruft.

Eine geschickt gemachte Schadcode-Injizierung bemerkt man aber lange nicht so schnell...

Nicht umsonst haben wir z.B. hier im Forum IFrames deaktiviert (das ging früher mal) - das haben irgendwann mal Leute missbraucht und wir haben dem Einhalt geboten. Und nicht umsonst habe ich bei der XSS-Lücke, die am Anfang der Woche im Forum entdeckt wurde, erstmal alles andere stehen und liegen gelassen bis ich sie gefixed hatte.

Beides auf einmal (Sicherheit und Offenheit) bekommt man eben immer nur bis zu einem gewissen Grad.

Letztendlich bin ich für die Sicherheit des Webangebots verantwortlich und das ist einer der Punkte, wo ich einfach eine Grenze ziehe.

Viele Grüße,
Christian