Los van dat XSS eenvoudig te voorkomen is en geen enkele webwinkelsoftware de basale fout zou moeten bevatten om het blokkeren ervan over te slaan, laat dit ook zien hoe kwetsbaar de keuze is geweest om applicatie-interfaces te gaan bouwen met iets dat ontworpen was om (statische) hypertextdocumenten op te maken. Net als bij een ouderwetse non-web-UI zou helemaal niets in de data die de applicatie toont als onderdeel van de UI-opbouw moeten worden kunnen geïnterpreteerd. Daar lopen twee verschillende dingen door elkaar die helemaal niet door elkaar moeten lopen.