решил проверить как отрабатывается эта самая атака
есть таблица, которая строится на сервере в виде html и передается клиенту по ws, на клиенте вставляется с помощью innerHTML.
вставил в базе в поле такое
вввв <script>alert('---')</script>www
по всем пугалкам ожидал увидеть этот алерт...

что в реалии - никакого алерта , вывод в поле вввв www

вставил
2555&#60;script>alert('777777')</script>6666
увидел
2555<script>alert('777777')6666

это в хроме и мозиле

вопрос - это последние версии так себя ведут? т.е. можно забыть про XSS?