En mi cliente enriquecido, evito los datos proporcionados por el usuario antes de renderizar para evitar XSS.
Los datos provienen del servidor sin escapar. Eso es necesario para la lógica de la aplicación, por ejemplo, evitando situaciones donde verifico por error "O&Donnell"==="O'Donnell"
Sin embargo, un atacante puede enviar al usuario un enlace para dirigir el acceso GET
a la API JSON subyacente; o el usuario podría tropezar con él. Esto habilita XSS.
¿Cómo puedo prevenir esto? Tokens CSRF? ¿Configurando tipo de contenido a texto plano o JSON y no a HTML? ¿Algún otro enfoque?