Mi pregunta es: ¿por qué no almacenamos lo que siempre va al servidor como parámetros? Si estos parámetros se reflejan en la respuesta HTML, lo descartamos o codificamos
¿Algún parámetro ? Entonces, si busco "Hola" y la página de respuestas contiene el texto "Aquí están tus resultados para Hola", ¿se ha destruido?
Tiene que haber algún criterio para lo que cuenta como potencialmente peligroso, de lo contrario, cada formulario en la web se romperá de esta manera. Podría comenzar con "cualquier parámetro con un < in", pero ¿qué pasa con los ataques de inyección de atributo como onmouseover= , o la inyección de JavaScript como '; alert(document.cookie) ? ¿Y cómo evitar que un parámetro de < rompa todas las etiquetas de la página? No hay una respuesta estúpida obvia, por lo que la detección termina siendo un lío complejo de reglas heurísticas y no un patrón limpio y hermético.
Personalmente, creo que la detección de XSS reflejada del lado del cliente está muy equivocada: en principio, condenada al fallo y , pero si lo va a hacer, tendrá que limitar su alcance porque la reflexión del contenido es una propiedad común que la web necesita para funcionar correctamente, no siempre un ataque.