<script> nur mehr in head erlauben.
-
als schutz gegen xss könnte man <script> nur als child element von <head> erlauben. im allgemeinen baut man selbst ja den script code dort ein. nur werbung oder andere externe quellen verwenden <script> im restlichen bereich. was denkt ihr darüber?
-
<p onwhatever="alert('und was ist damit?');">hm?</p>
-
stimmt. das ist ein guter punkt. vielleicht sollte man den inhalt der onblabla attribute auf funktionen beschränken, die in <script> tags definiert worden sind.