Hallo frog,

es gibt Seiten mit bösartigem JavaScript. Man kann da eine Menge Unheil anrichten, früher mehr als heute, weil die Browser die diversen Problemzonen Stück für Stück schließen, zum Leidwesen derer, die damit nützliche Dinge getan haben.

XSS ist ein Problem. Nervige Werbepopups sind ein weiteres. Immerhin sind die Zeiten vorbei, wo ein stupides Script Dir den Bildschirm mit Fenstern zumüllen konnte, oder wo man im Internet Explorer mit dem FileSystemObject auf deiner Platte herumgraben konnte.

Sich einen Virus durch Anschauen einer Seite mit bösem Script einzufangen dürfte sehr schwer geworden sein. Das Script muss dafür schon Bugs im Browser ausnutzen. Hoffe ich zumindest 😲

Aber JavaScript hat dadurch einen schlechten Ruf und wird von paranoiden Leuten deshalb geblockt. Bzw. nur per Whitelist für ausgewählte Seiten erlaubt. Ich habe das eine Zeitlang auch gemacht, vor 15 Jahren oder so. Mittlerweile nicht mehr - ohne Script funktionieren zu viele Seiten einfach nicht mehr oder nur schlecht.

wenn ich in meinem JS keine Benutzereingaben mit Logins, Suchfunktionen etc. hab

Deinem JS solltest Du vertrauen können, wenn Du nicht blindlings unverstandenen Code zusammenkopierst - was leider gerne und oft gemacht wird. Das Problem von Benutzereingaben liegt nicht im JavaScript, denn Benutzereingaben werden am Server verarbeitet - und wenn dein Server korrekt programmiert ist, kann Dir niemand böses Zeug in die Seite injizieren. Das entsprechende Thema heißt Kontextwechsel - gemeint ist, dass man Zeichenketten nicht einfach durch die Gegend schieben darf. Wenn man SQL oder HTML generiert, muss man aufpassen, was man darin einbaut, und entsprechende Maskierungen durchführen. Die Server-Programmiersprachen bieten dafür entsprechende Tools. Bei PHP wären das die Escaping-Funktionen für SQL und htmlspecialchars für das Einbauen von Strings in HTML. Und dann ist alles gut.

Rolf