Hi there,

Programm mit Parameter aufrufen:
http://www.example.com/myprogram.php?agency="><script>alert("böser Code")</script>

'">' schließt das input-Tag, und schon steht '<script>alert("böser Code")</script>' im HTML-Code und das feindliche JavaScript wird ausgeführt.

Lieber Gunnar, warum sollte man die Menschen daran hindern, im eigenen Browser bösen Code auszuführen?