Non direi che i framework forniscono il filtro XSS perché gli sviluppatori sono "pigri". Lo fanno in modo che gli sviluppatori possano concentrarsi sul codice di creazione specifico per la loro applicazione. Il lavoro di uno sviluppatore è abbastanza difficile da gestire le (spesso) sconcertanti regole aziendali che le applicazioni devono applicare.
Diciamo che eri un falegname esperto. Dato abbastanza tempo puoi costruire qualsiasi cosa. Hai un lavoro per rifare la cucina di qualcuno. Dovresti passare una buona parte del tempo a fare il miglior martello del mondo? Oppure, dovrebbe passare il tempo a rifare la cucina e usare il martello da $ 20 che puoi ritirare da Lowe's?
La società che produce martelli concentra tutte le sue energie nel creare i migliori martelli che possono. Le persone che fanno le strutture concentra le loro energie nel creare i migliori quadri che possono. Possono passare il tempo a testare e ritestare quel codice perché è quello su cui si concentrano. Quando devi tirare il tuo da solo puoi perdere qualcosa o creare un bug a cui non potresti mai pensare. A volte devi creare il tuo martello (o codice) per soddisfare un bisogno molto specifico, ma spero che sia poco e lontano.