Hi!

Und was ist mit HTML- und Javascript-Injection, oder allgemein gesagt, alles was im Browser ausgeführt werden kann?
Was soll damit sein?

Die Session-ID ist ein vom Anwender änderbarer Wert. Wenn man den einfach so ins HTML stellt, dann landet das, was da jemand als ID angegeben hat, im HTML. Oder ist das deiner Meinung/deines Wissen nach anders?

Lo!