Estaba atravesando algunas defensas laterales del CLIENTE contra el XSS reflejado, p. ej. XSS auditor (chrome), IE8 XSS Filters, Noscript. Usan expresiones regulares y otras técnicas sofisticadas.
Mi pregunta es: ¿por qué no almacenamos lo que siempre va al servidor como parámetros y si estos parámetros se reflejan en la respuesta HTML, lo descartamos o lo codificamos? Idea simple Siento que puede haber falsos positivos pero no muy convincentes. ¿Alguna entrada?
este enfoque ya se encuentra en varios marcos y funciona (más o menos) contra los patrones de ataque básicos.
otra forma más elegante es utilizar CSP , pero tiene algunos requisitos al usar este enfoque (no hay js en línea / estilos etc)
el problema es que, desde defender-pov, un atacante podría tener otros puntos), cosas desagradables como codificación, nullbytes y diferentes formas de mitigar la protección. Si solo fuera ASCII, el mundo sería (un poco más) perfecto :)
Lea otras preguntas en las etiquetas web-browser xss browser-extensions