Tenemos una aplicación con un formulario donde el usuario puede ingresar un comentario. El formulario se envía utilizando AJAX. Los valores también se leen a través de AJAX y el backend los devuelve como JSON, y luego se analizan con JavaScript para presentarlos en la página.
Este formulario era vulnerable al ataque XSS, por lo que protegimos la aplicación solo en la interfaz, escapamos de los caracteres HTML y JavaScript cuando analizamos la respuesta JSON.
Creemos que no hay necesidad de hacer algo similar en el backend, es decir, para escapar de los caracteres riesgosos antes de almacenarlos en la base de datos, porque la respuesta JSON siempre será analizada por el frontend antes de renderizar.
¿Es el enfoque correcto o aún existe alguna amenaza o ataque?