0089bc5909
escapeHtml nutzte den textContent->innerHTML-Trick, der laut HTML-Spec nur & < > escaped, aber keine Anführungszeichen (in Textknoten harmlos). linkify steckt den Wert anschließend in ein href="..."-Attribut, wo ein rohes " das Attribut vorzeitig schließt und beliebige Attribute (on...=, style=) am <a> einschleusbar macht -- HTML-Injection. Die CSP (default-src 'self', kein 'unsafe-inline') verhinderte nur die Ausführung, nicht die Injektion. Ersetzt durch einen spec-korrekten Entity-Escaper, der auch " und ' abdeckt, sodass der Wert in Text- UND Attributkontext sicher ist. Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>