<script>window.document.write("Hallo")</script>
<script>alert("Hallo")</script>
<script>window.document.write("<a href='https://www.google.de'>Sofortgewinn</a>")</script>
<?php echo "<b>44</b>"; ?>
Schadcode ist immer ein Problem der Weiterverbeitung.
Im ausgebenden Formular verhindern z.B. einen CSP (Content-Sicherhheits-Richtlinie, Content Security Policy)
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'">
<meta http-equiv="X-Content-Security-Policy" content="default-src 'self'; script-src 'self'">
das Ausführen extern eingeschlausten Codes.