Tengo un sitio web donde se utiliza JavaScript para procesar datos confidenciales (mensajes de chat) en el lado del cliente. No se realiza ninguna comunicación con el servidor ni con ningún otro servicio después de la carga inicial de la página. Es posible que un interlocutor del usuario tenga intenciones maliciosas e intente XSSing la conversación. Para contrarrestar esto, quiero estar 100% seguro de que es imposible que la aplicación envíe mensajes después de la carga inicial de la página, ya que es aceptable si XSS rompe la aplicación de JavaScript, pero no es aceptable que se envíen mensajes.
¿Hay alguna forma de estar seguro de que mi aplicación JavaScript no enviará mensajes a ninguna parte después de la carga de la página, cuando existe la posibilidad de ataques XSS?