Auf dem Server werden die Eingaben noch einmal überprüft. Aber ist das nicht zu spät für Cross-Site Scripting mit JavaScript? Das verwendete Pattern ist auch nur vorläufig. Verbesserungsvorschläge werden gerne genommen! Oder reicht auch [^script] oder Ähnliches?