Hallo Michael_K,

das ist richtig, solange das Element nicht im DOM ist, passiert nichts.

Aber woher kannst Du Schadcode bekommen? Akzeptierst Du HTML Quellcode aus unsicheren Quellen, den Du dann ins DOM des Users einhängst? Ist das eine gute Idee?

Wenn dieses HTML von deinem Server stammt, solltest Du es serverseitig säubern bzw. mit htmlspecialchars behandeln, bevor es zum Browser geht.

Rolf