Ad esempio, siti web costruiti in ASP, PHP, Ruby?
ASP.NET utilizza qualcosa chiamato richiesta di convalida a prevenire gli attacchi XSS memorizzati (e possibilmente riflessi?). La convalida della richiesta cerca fondamentalmente contenuti dannosi quando vengono inviate le richieste. Se ne trova, bloccherà la richiesta.
Per impostazione predefinita, la convalida della richiesta è abilitata, ma gli utenti possono disattivarla.
Va notato che la convalida della richiesta non impedirà necessariamente l'XSS basato su DOM.
Sebbene molte lingue / framework possano tentare di impedire XSS, non è mai un sostituto per il codice di sicurezza. La miglior difesa è capire la natura dell'attacco e scrivere il codice pensando alla sicurezza.
Leggi altre domande sui tag secure-coding web-application appsec xss security-theater