Weitere Stolperfallen

• Bei Angabe von Homepages:

• javascript:alert('0wned')

• Hier schützt HTML-Escaping nicht

• Am besten nur (http|https|ftp|news) zulassen, also das Whitelist-Prinzip