Come approccio generale alla gestione degli attacchi XSS, piuttosto che dover ricordare di sfuggire al codice generato dall'utente, esiste un modo per indicare al browser di non eseguire alcun script o funzione di script che non sia firmata con un particolare chiave pubblica (inclusa nella parte superiore di ogni pagina, ma non necessariamente autenticata. Questo è inteso solo per gestire XSS, non man-in-the-middle)? Quindi potresti semplicemente firmare tutti gli script "reali"