Aetae, тема не посвящена защите от XSS
Но я пока уверен, что мы нашли защиту от любого способа атаки.
А входные данные очень простые:
1) есть страница /project/123, вы можете разместить на ней скрипт.
2) есть страница /account, с этой страницы админ может выполнить запрос по адресу /del с параметром {id: 123}
Вопрос: что сделает ваш скрипт, чтобы я (админ) при посещении страницы /project/123 случайно её удалил?
Сабж актуален. History API можно восстановить?