Abbiamo un'applicazione con un modulo in cui l'utente può inserire un commento. Il modulo viene inviato utilizzando AJAX. I valori vengono letti anche tramite AJAX e restituiti dal backend come JSON e quindi analizzati da JavaScript per presentarlo sulla pagina.
Questo modulo era vulnerabile agli attacchi XSS, quindi abbiamo protetto l'applicazione solo sul frontend, evitiamo i caratteri HTML e JavaScript quando analizziamo la risposta JSON.
Pensiamo che non ci sia bisogno di fare cose simili sul back-end, cioè di sfuggire ai personaggi rischiosi prima di memorizzarli nel DB, perché la risposta JSON sarà sempre analizzata dal frontend prima del rendering.
L'approccio corretto o la minaccia o l'attacco sono ancora possibili?