der einzige Unterschied zwischen dieser datei und meiner Test-Datei, die keinen Fehler verursacht, ist allerdings die Länge.
Es handelt sich nicht um einen Fehler, sondern um eine Warnung. Konkret könnte jemand (mit ein wenig IT-Kenntnis und bösen Intentionen) in SoSci Survey ein bösartiges JavaScript erstellen, in einer Frage speichern, und Ihnen dann die XML-Datei schicken. Dieses Script könnte z.B. das Passwort Ihres Benuzterkontos ändern. Oder das Script könnte einen API-Link einrichten, dass die vorgenannte Person direkt auf Ihre erhobenen Daten zugreifen kann. Oder das Script könnte wild Rubriken und Fragebögen in Ihrem Benutzerkonto löschen.
Wnn Sie diese Frage nun im importieren würden, würde SoSci Survey unten in der Frage die Vorschau anzeigen und in diesem Moment auch das Script ausführen. Deshalb warnt SoSci Survey generell, wenn Sie inhalte importieren möchten, die ein <script>-Tag enthalten.
Wenn Sie wissen, woher die XML-Datei kommt und am besten auch noch wissen, an welcher Stelle dort ein <script> verwendet wird, und warum, dann ist alles in Ordnung. Wenn Ihnen jemand eine XML-Datei für SoSci Survey geschickt hat ("gleich importieren, das ist die beste Frage ever!") und die Warnung taucht auf, dann sollten Sie davon ausgehen, dass Ihnen die Person möglicherweise Böses will.
Die Test-Datei enthält lediglich 2 -Elemente, die tatsächliche enthält deutlich mehr elemente.
Vermutlich enthält eines der Elemente einen <script>-Baustein. Das kann durchaus funktional und berechtigt sein. Aber es ist ein wenig so wie wenn Sie eine EXE-Datei auf einem Computer aufrufen: Das Programm macht danach wofür es geschrieben wurde ... und das kann gut (die überwiegende Mehrheit der Fälle) oder Schlecht sein. Und man muss ein wenig aufpassen, um sich keinen Trojaner, Virus, Ransomware etc. einzufangen.
Bei SoSci Survey arbeiten wir übrigens schon an einer Lösung, damit dieser Angriffsweg ausgehebelt wird. Aber bis diese fertig ist, wird es noch ein wenig dauern.