С иньекциями в инпут понятно - старая тема, но кто-нибудь может мне обьяснить как это пользователь может вставлять css код в шаблон, где такое в природе вообще существует?
Вот эта часть спеки: www.w3.org/TR/CSP2/#securitypolicyviolationevent-interface Вот его реализация в Webkit: github.com/WebKit/webkit/blob/master/Source/WebCore/dom/SecurityPolicyViolationEvent.h но я что-то не вижу чтобы кто-то реализовал это событие(
CSP браузеров уже давно не позволяет делать опасные вещи , и хранимые XSS уже давно пресекаются на уровне настроек веб.серверов или фреймворков. В общем , все это очередная лапаша на уши недохацкеров.