Hallo,

... so das internet funktioniert, man betrachtet Inhalte im Browser von anderen Servern. Du kannst auch Flash oder Java Code und sogar Bilder von einer fremden Domain einbinden, willst du das unterbinden?

Ja, das wäre konsequent. Bilder wären ok, aber nichts, was Code ausführt, der nicht unter der Kontrolle des Seitenbetreibers liegt. Wenn der es haben will, soll er den Fremdcode eben kopieren auf seinen Server, wo er ihn unter Kontrolle hat.

Aber seit wann wird XSS nicht als Sicherheitslücke gesehen?

XSS oder nichts XSS. Das ist doch Haarspalterei. Wenn fremder Code eingebunden wird, ob absichtlich oder nicht, dann *ist* das Cross-Site Scripting, jedenfalls im Wortsinn. Und es *ist* nunmal ein Risiko, auch wenn es beabsichtigt ist, weil der Fremdcode eben nicht unter der Kontrolle des Seitenbetreibers liegt und weiteren Code einbinden kann, der wiederum nicht unter der Kontrolle des 1. Fremdcodes liegt usw. usf.

Verstehe nicht, wie man das anders sehen kann.

Gruß, Don P