Questo OWASP articolo menzionato "Utilizzando la convalida dei dati, è possibile rilevare e prevenire solo l'XSS riflesso, non è possibile rilevare XSS persistente, XSS basato su DOM solo in misura limitata se parte dell'invio viene inviata nei parametri della richiesta." Perché è così?
Capisco che una volta che lo script dannoso viene archiviato nell'applicazione, ora qualsiasi richiesta GET / POST non sembrerà malevola ma lo script verrà eseguito dal lato delle vittime. Tuttavia, per eseguire un XSS persistente, un utente malintenzionato deve inviare al server una richiesta dannosa che deve essere rilevata da WAF e quindi deve essere interrotta per essere eseguita.