Nunja, ich kenne dass normalerweise so, dass ein CGI Script, oder
eigentlich jede serverseitige Webanwendung, die Seite oder die Daten
direkt generiert/ausgibt. Es ist nicht unüblich, Benutzereingaben
zwischendurch in einer Datenbank oder Datei abzuspeichern, oder von dort
wieder abzurufen, aber das abzuspeichern, was man dem Benutzer nachher
Anzeigt, habe ich so noch nie gesehen. Dabei muss man auch auf vieles
aufpassen. z.B. dass die Datei unter keinen Umständen dazu genutzt
werden kann Serverseitig code auszuführen, dass nicht mehrere
gleichzeitig in die gleiche Datei schreiben und eventuell nicht nur ihre
Daten bekommen, etc. Deshalb meinte ich es sähe nach Murks aus.
Unabhängig davon, ich hoffe die Benutzereingaben werden auch richtig
escaped. Vergisst man es nur einmal, ist es oft ein Leichtes für andere,
was auch immer man will unter dem Origin anzeigen zu lassen.
Ohne mehr Informationen ist aber das meiste Spekulation. Oh, und das
width-attribut ist eigentlich auch nur bei Bildern, Videos,
Canvas-Elementen, Tabellen und iFrames erlaubt, aber nicht bei divs.
Vermutlich gibt es da noch mehr derartiges in der Seite. Welcher Browser
akzeptiert denn sowas in 2018 überhaupt noch?