Seit fast 25 Jahren ist Cross-Site Scripting (XSS) eine der größten Risiken für Webanwendungen. Eingeschleuster JavaScript-Code sorgt auch 2023 noch regelmäßig für großen Ärger. Doch dabei gibt es inzwischen so viele Möglichkeiten, sich vor dem Angriff zu schützen: Browser-Features, HTTP-Header und spezielle APIs. Der Vortrag geht zunächst der Frage auf den Grund, wieso XSS so gefährlich ist und warum es immer wieder dafür anfällige Webanwendungen gibt. Dann werfen wir einen Blick auf Gegenmittel, inklusive Content Security Policy, Trusted Types API. Außerdem werfen wir einen Blick auf Gegenmaßnahmen in populären SPA-Frameworks. Nach diesem Vortrag gibt es (fast) keine Ausreden mehr, sich XSS einzufangen.