hi,

Da hast Du sicherlich Recht, aber Ziel meiner Arbeit ist es momentan, die Auswirkungen von potentiellen XSS-Schwachstellen einzugrenzen. Die Realität zeigt doch leider, daß eine komplette Vermeidung von XSS-Lücken kaum möglich ist und für sicherheitsrelevante Anwendungen weitere Maßnahmen wünschenswert sind.

Was passiert denn mit den Daten, die da zum Client übertragen werden - auf welche Weise werden sie dort genutzt?

Irgendeine clientseitige Bedeutung müssen sie ja haben - sonst würden sie ja gar nicht erst dorthin übertragen.

Wenn du sie aber bspw. dynamisch irgendwo ins Dokument schreibst - dann hole ich als XSS-Bösewicht sie mir eben von dort, anstatt aus deinem <script>-Block ...

gruß,
wahsaga