Considera un'app sviluppata che utilizza qualcosa come la libreria OWASP CSRFGuard. Cosa si può fare per proteggere da XSS se l'app chiama un'app di black box di terze parti che non ha modo di archiviare e restituire il token quando il controllo viene trasferito alla tua app? Potrei non avere alcun controllo sull'invio dei cookie tramite l'app Black Box. L'URL sul ritorno potrebbe includere un parametro statico noto solo al server, ma non sembra un approccio solido. Qualche soluzione migliore?
Sembra che tu sia preoccupato che il tuo codice web server si fidi di una libreria di terze parti che genera contenuti all'interno della tua risposta HTTP. Questa è una preoccupazione molto valida.
Se tutto ciò che genera è un token CSRF, cioè alcune stringhe, ha senso aggiungere protezione XSS (caratteri di whitelist, caratteri speciali di escape ...). Questo dovrebbe eliminare la maggior parte dei probabili vettori XSS che la tua libreria black-box introduce.
D'altra parte, se la libreria sta generando JavaScript incorporato nella tua risposta, potresti volere i cookie HTTPOnly, per limitare la visibilità del tuo DOM. In quest'ultimo caso, potresti anche prendere in considerazione l'implementazione di Politica di sicurezza del contenuto . Tuttavia, questo è molto più difficile da implementare correttamente. Potresti anche voler studiare e registrare il codice lato client generato dalla libreria.