Hallo dedlfix,

schon klar. Man kann nur Dinge abfangen, die technisch böse sind, also Script-Tags.

Inhalte in Wort und Bild kann nur ein Lektor absichern. Wenn man Autoren dabei hat, denen man nicht vertraut, braucht das CMS ein Prüf- und Freigabeverfahren.

Das hindert den bösen Autor aber auch noch nicht daran, ein <img> Tag zu setzen, dessen src eine URL mit Nebenwirkungen ist. Da hilft nur korrekte CMS Programmierung, die keine GET Requests mit Nebenwirkungen akzeptiert (also sowas wie /wiki/delete/4711 nicht als GET-Request zum Löschen von irgendwelchen Dingen zulässt).

Rolf