XSS… XSS… War das nicht eine Kleidergröße? ;O)
XSS ist nichts wirklich gefährliches und alleine eine Umstellung auf POST-Request ist schon ein Gewinn für die Sicherheit. ;O)
Die vorherrschende Unwissenheit hat, meiner Erfahrung nach, keinen kausalen Zusammenhang mit der Größe eines Unternehmens. Wo fehlenden Cookie-Flags mit der Verschlüsselung einer IP-Adresse begegnet wird, da hat IT-Sicherheit kaum ein Chance.