Originariamente inviato da mark2x
Io (il Sito_A) posso fare tutti gli escaping possibili, ma se lo stesso browser dello stesso utente autenticato, che nel frattempo sta visitando un "sitaccio" mi chiama una pagina PHP con certi parametri (costruiti apposta) in GET, io... che posso fare??
fortunatamente il browser non conta niente per il server, quindi più che non salvare password in chiaro ed evitare iframes nell'area di admin non so che dirti ... se non effettua il parsing di tutti i dati in ingresso.

Sito B può scrivere sul browser in sito_A quello che gli pare, il server, grazie a strip_tags, html_entities, specialchars, is_int, is_float, is_string, preg_match e tutto quello che vuoi non deve permettere a nessuno di infastidire il comportamento dell'area proposta.

Browser maligno ? ... chissenefrega, è il server che deve fare i controlli, mai l'utente (o il solo utente, tipo javascript).

chi usa javascript deve fare altrettanti controlli sul server, questo da sempre