Hallo,

ich hätte eine Verständnisfrage. Wenn ein neues Element erstellt wird, ab "wann" muss man auf XSS achten?

Auf selfhtml wird ausgeführt: "Die Überschrift wird damit aber noch nicht angezeigt - sie hängt noch nicht einmal im Elementenbaum des Dokuments. Das Element ist lediglich als Objekt erzeugt. Die Methode createElement() gibt das erzeugte Objekt, also in dem Fall das h2-Element, zurück. Der Rückgabewert wird in der Variablen myH2 gespeichert"

Mein Verständnis war, unter Verwendung von JQuery, dass XSS kein Thema ist, solange das neue Element nicht eingebunden ist.

abstraktes Beispiel:

const newDiv = $('<div/>').append(Schadcode);

Solange newDiv nicht dem document angefügt wird, hat man noch kein Problem, oder doch? Mein Verständnis war immer, das erst beim Einhängen in das Dokument der eingeschleuste XSS Code ausgeführt wird.

Wäre dankbar für Hinweise, da ich aktuell das "säubern" immer auf newDiv durchgeführt habe und dann in das Dokument eingefügt wurde.

Gruss Michael