Das zeigt wieder mal schön die Grenzen von SSL und erst recht von EV-SSL auf. Die ganzen Verschlüsselungen beziehen sich schließlich nur auf die Übertragungsstrecke und signieren in keinster Weise den Inhalt. Der Inhalt aber ist gerade das wichtige in Hinblick auf XSS, da diese Codefragmente ja direkt vom erlaubten Server geschickt werden.

Dagegen kann nur eine inhaltliche Signierung helfen, wie mal auf SigHTTP von mir angedacht wurde. Ich glaube es wird Zeit für eine erste IMplementierung dieser Idee. Wenn mannur mehr Zeit hätte.

Schade drum.