Tach!

Naja, ich sehe den neuen Absatz und dann den Absatz mit dem output darin. Oder worauf sollte sich das beziehen?

Das hat jetzt nichts mit dem Thema zu tun.

Es genügt, eine id einzuschleussen, und schon hast du Gewalt über den Inhalt.

Da hilft nicht mal use strict.

In dem Fall hilft eine Zeile an den Anfang des Javascript-Teils einzufügen, die ich vergessen habe.

const ff = document.querySelector('#ff');

Zumindest solange das zweite id="ff" erst nachfolgend kommt. Ohne diese Zeile hat das nur geklappt, weil Browser selbständig eine Variable für die id angelegt haben. Die zweite id-Zuweisung hat die erste überschrieben. document.querySelector() hingegen sucht im DOM und endet an der ersten Fundstelle.

Dass man clientseitig manipulieren kann, ist halt so in den Browsern. Damit muss man leben. Wenn die Manipulation hingegen unbeabsichtigt durch Dritte - beispielsweise durch XSS - durchgeführt werden konnte, dann hat man irgendwo einen Programierfehler, den man beseitigen muss.

dedlfix.