Sorry, das kann ich nicht ernst nehmen.

Dann muss man sagen, dass du nicht wirklich nachgedacht hast, wo hier das Problem liegt und wer die Verantwortung für was trägt.

Es ist genauso wie du es sagst. Das Einbinden von einer fremden Domain wird ausgenutzt, das Stichwort XSS hatte ich dir ja schon genannt. Von daher wäre es sinnvoll zu überlegen diese Sache einzuschränken, dann würden aber vermutlich Leute wie du aufschreien, wie bei der Einschränkung des Fileupload Feldes.

Wobei aber die Verantwortlichkeit für den Bug jeweils woanders liegt.

Ein XSS Exploit ist ein Mangel in der Serversoftware, die Verantwortung liegt hier also in der Hand des Entwicklers. Der Fehler ist nicht im Browser, da es von vielen Entwicklern gewünscht wird, JS von einer fremden Domain einzubinden zu dürfen, wird diese Sache nicht eingeschränkt. Bei dem Fileupload ist genau umgekehrt, wenn diese funktionalität ausgenutzt werden könnte, wäre es ein Fehler im Browser und er würde zu recht als Mangelhaft bezeichnet werden.

Und genau das ist ja jahrelang passiert, der IE hatte genau unter solchen mängeln zu leiden und jede Woche tauchten neue Lücken auf, die genau solche Sachen ausnutzten um Schaden anzurichten. Das ist der Grund warum Firefox relativ schnell so erfolgreich werden konnte. Weil bei M$ Leute saßen, die so argumentierten wie du.

Struppi.