Hi!

Was ist denn die „Zielseite“, wenn du die Ressource per cURL anforderst?
Na irgendeine Seite die POST-Daten empfängt und entsprechend ausgibt. Es soll überprüft werden ob gesendeter JS-Code auf der Zielseite ausgeführt wird.

Die "Zielseite" führt nichts aus. Eine Response ist lediglich ein Stück Text. Erst die Interpretation im Browser kann selbigen dazu veranlassen, irgendetwas auszuführen. In deinem Fall ist curl dein "Browser". Kann der Javascript ausführen? Nein. Dein Vorhaben ist damit nicht realiserbar. Du brauchst einen Javascript-Interpreter, der in einem Stück Software intergriert ist, das dir das DOM des HTML-Codes erzeugt, sonst ist der Javescript-Code nur eingeschränkt ausführbar (ohne alle DOM-interagierenden Teile).

Es soll ein automatisierter Sicherheitscheck für internen Gebrauch werden.  (XSS-Check) bei dem ich mir natürlich vorher die entsprechende erlaubnis einhole.

Das ist zu allgemein formuliert. Was genau soll da geprüft werden?

Lo!