Danke für den Hinweis. Ich hatte eine ähnliche Idee, hab aber dummerweise den Endtag des Kommentars in der Zeile über dem Body-Tag platziert. Das funktionierte nicht. Wenn zwei das Gleiche machen, ist es auch im Web nicht dasselbe. Beim Testen ist mir nun allerdings aufgefallen, dass die Gefahr anscheinend vorbei ist. Auch ohne Kommentar und mit Body-Tag wird kein Cookie mehr gesetzt und kein Script eingepflanzt. Vom Webhoster hab ich jedoch noch keine Entwarnung bekommen.