Hi,

Programm mit Parameter aufrufen:
http://www.example.com/myprogram.php?agency="><script>alert("böser Code")</script>

'">' schließt das input-Tag, und schon steht '<script>alert("böser Code")</script>' im HTML-Code und das feindliche JavaScript wird ausgeführt.

Lieber Gunnar, warum sollte man die Menschen daran hindern, im eigenen Browser bösen Code auszuführen?

Weil obige Adresse nicht nur vom neugierigen Nutzer zu Testzwecken selber eingegeben werden kann - sondern bspw. auch eine andere Seite darauf verlinken könnte.

Und dann macht der „böse Code“ vielleicht nicht nur ein alert, sondern stiehlt die Session-ID o.ä. aus einem Cookie, und sendet sie mal flugs eben woanders hin.

Muss man *dir* das wirklich erklären ...?

MfG ChrisB