Ho un'API REST a molla e un progetto client. La pagina HTML dei progetti client utilizza le chiamate jquery ajax per recuperare i dati dall'API REST utilizzando il formato json o xml. La mia domanda è evitare gli attacchi XSS su una pagina web, dove devo eseguire la codifica dei dati di input dell'utente (cioè dati non fidati)? Attualmente sto codificando i dati nel mio controller REST prima di restituire la risposta. Sto seguendo l'articolo di cheat di OWASP XSS Prevention. Ma dal mio punto di vista, tutto è ajax e il recupero dei dati da json e l'inserimento in html con jquery, non sono sicuro di dove dovrebbe essere codificato il codificatore utente per codificare i dati non attendibili. Mettere la codifica in REST Controller è una buona opzione?
Grazie in anticipo.