Stavo attraversando alcune difese laterali CLIENT contro XSS riflesso, ad es. Auditor XSS (chrome), IE8 XSS Filters, Noscript. Usano l'espressione regolare e altre tecniche sofisticate.
La mia domanda è: perché non memorizziamo ciò che mai andrà al server come parametri e se questi parametri si riflettono nella risposta HTML, allora scartala o codificala. Semplice idea Sento che potrebbero esserci falsi positivi ma non molto convincenti. Qualche input?