Como una estrategia general para lidiar con los ataques XSS, en lugar de tener que recordar escapar del código generado por el usuario, hay una manera de indicar al navegador que no ejecute ningún script o función de script que no esté firmado con un determinado clave pública (incrustada en la parte superior de cada página, pero no necesariamente autenticada. ¿Esto solo es para tratar con XSS, no con el medio en el medio)? Entonces, simplemente puede firmar todos los scripts "reales"