いうて自分もそこまで詳しいわけではないので自分が運営してるサービスでなんか見つけたら教えてください

ちゃんと勉強するならたぶんこれ

他はやや条件が必要だったりするし

XSS は基本中の基本だからとりあえず押さえておけばだいぶリスクを軽減できると思う

Nostr は認証情報がクライアント管理なので HttpOnly クッキーはそもそも使えなくて localStorage に保存するしかない（クッキーに保存してもいいけどサーバーに送信されて管理者に漏洩する）

一般的な Web サイトだとサーバーからトークンを発行するので HttpOnly クッキーに保存しておけば認証情報は安全だけどフィッシングサイトへのリダイレクトとかはできるので全体として安全なわけではない

kind: 5, 62 で削除されたコンテンツ、裏で一定期間バックアップしておきたさはある

他人のコンテンツ表示しなければそうそう問題になることはないと思う

フレームワークを使ってても XSS あるサイトいっぱいあるよ 正しく使えてない開発者が多すぎる

なので nostter は気を付けて作っている