La única buena defensa es una defensa en profundidad. Por el momento, su esquema de autenticación puede parecer seguro. Pero algún día se encontrará una vulnerabilidad en él, ya sea por un atacante, o por usted, o por un experto descontento que ya está autenticado.
Si estuvieran ejecutando la defensa adecuada en profundidad, entonces cuando ese agente hostil accediera al sistema, el daño que podrían hacer estaría limitado por otros mecanismos de seguridad. Sin embargo, con su actitud de que una vulnerabilidad solo cuenta si puede ser ejecutada por una amenaza externa, están desperdiciando completamente cualquier oportunidad para crear líneas de defensa adicionales.
Entonces, por ejemplo, un atacante que solo podía obtener acceso limitado de usuarios podía obtener credenciales de administrador. Su esquema de autorización es vulnerable. O un empleado mal pagado podría decidir administrar un minero de criptomoneda basado en JS en los clientes de todos sus usuarios para ganar un poco de dinero extra adicional. O un usuario externo a finanzas / administración podría acceder a información interna para un poco de información privilegiada.
Decir XSS no importa porque tienes que iniciar sesión es funcionalmente equivalente a decir que todos los usuarios registrados deben tener permiso para ver y hacer todo lo que hacen los demás usuarios registrados. No hay usuarios ni administradores, ni privacidad departamental, ni usuario no repudio. Todos los usuarios, funcionalmente indistinguibles. Si eso no es cierto para su caso de uso, entonces XSS es una vulnerabilidad explotable que debería preocuparle.
Editar: Si están convencidos de que nada de lo anterior podría suceder, te recomiendo cambiar a los ataques de ingeniería social en el esquema de autenticación. Los esquemas de autenticación más seguros aún requieren interacción humana y, por lo tanto, son deprimentemente vulnerables.