Ho un'applicazione 4.0.1 per le rotaie che consente le impostazioni locali come parametro di richiesta. Ecco cosa ho visto quando ho testato la mia app su firefox;
http://localhost:3000/pages?locale=en_EN%22%3E%3Cbody%20onload=%22alert%28%27XSS%27%29
Quindi Firefox esegue body = onload quando la pagina esegue il rendering, se eseguo questa richiesta dal browser Firefox avverte tristemente xss in una finestra di dialogo quando carica!
Chrome non invia nemmeno la richiesta e Safari dice che la richiesta non è andata a buon fine.
Non c'è nulla di dannoso per il back-end, ma questa richiesta ha un effetto terribile sul lato client!
Mi manca qualcosa da implementare nelle intestazioni di risposta? Cosa c'è da fare per dire al browser di non manipolare DOM con i parametri di richiesta?