Por ejemplo, sitios web que están integrados en ASP, PHP, Ruby?
ASP.NET utiliza algo llamado validación de solicitud para ¿Prevenir los ataques XSS almacenados (y posiblemente reflejados?). La validación de solicitudes básicamente busca contenido malicioso cuando se envían las solicitudes. Si encuentra alguno, bloqueará la solicitud.
Por defecto, la validación de solicitudes está habilitada, pero los usuarios pueden deshabilitarla.
Se debe tener en cuenta que la validación de la solicitud no necesariamente impedirá el XSS basado en DOM.
Si bien muchos lenguajes / marcos pueden intentar prevenir XSS, nunca es un sustituto del código seguro. La mejor defensa es entender la naturaleza del ataque y escribir el código teniendo en cuenta la seguridad.
Lea otras preguntas en las etiquetas web-application appsec xss secure-coding security-theater