Seit fast 25 Jahren ist Cross-Site Script­ing (XSS) eine der größten Risiken für Weban­wen­dun­gen. Eingeschleuster JavaScript-Code sorgt auch 2023 noch regelmäßig für großen Ärg­er. Doch dabei gibt es inzwis­chen so viele Möglichkeit­en, sich vor dem Angriff zu schützen: Brows­er-Fea­tures, HTTP-Head­er und spezielle APIs. Der Vor­trag geht zunächst der Frage auf den Grund, wieso XSS so gefährlich ist und warum es immer wieder dafür anfäl­lige Weban­wen­dun­gen gibt. Dann wer­fen wir einen Blick auf Gegen­mit­tel, inklu­sive Con­tent Secu­ri­ty Pol­i­cy, Trust­ed Types API. Außer­dem wer­fen wir einen Blick auf Gegen­maß­nah­men in pop­ulären SPA-Frame­works. Nach diesem Vor­trag gibt es (fast) keine Ausre­den mehr, sich XSS einzufangen.