Deinen ersten Satz hättest du dir sparen können!
Tut mir leid falls ich dich damit gekränkt habe.
Und übrigens... dein Beispiel funktioniert mit dem getürkten String nicht.
Also bei mir funktioniert das zweizeilige Script. Seltsam. Aber auch egal, ich denke mein Einwand ist angekommen.
Tester sollten aber besser eine Domain ihres Vertrauens einfügen !
Die Domain www.evil[bindestrich]shit.de gehört den Betreibern des YouTube-Kanals SemperVideo und sollte daher vollkommen unbedenklich sein. Sie wird durch gängige Firewalls erkannt und gelockt, da auf unerreichbaren Unterseiten des Webservers Malware-Samples gehostet werden.
Nun aber wieder back to topic.