Molti (ma non tutti) browser sono dotati di protezione XSS integrata che può essere attivata con un'intestazione HTTP:
X-XSS-Protection: 1; mode=block
A quanto ho capito, impedisce gli attacchi XSS riflessi controllando che il documento non contenga parti dall'aspetto fishy della stringa di query durante il caricamento. Per una SPA moderna questo non è molto utile. L'HTML caricato direttamente dal server è spesso solo statico e tutte le cose interessanti si verificano dopo che la pagina è stata caricata.
Esistono browser con filtri XSS che impediscono anche l'XSS basato su DOM? Un filtro del genere dovrebbe ad esempio verificare che qualcosa passato a .innerHTML
non sia un riflesso malevolo dalla stringa di query o da qualsiasi altro input dell'utente, come una casella di testo.
Questa è una cosa? Devo ottenere qualcosa dall'abilitazione del filtro XSS su una SPA?