XSS - это не та функция, которую можно включить в jQuery. Было бы очень очень необычно, если бы ядро jQuery имело уязвимость XSS, но это возможно, и оно называется XSS на основе DOM.
«Распределение ресурсов между источниками» или CORS - это не то же самое, что XSS, НО , но если веб-приложение имеет уязвимость XSS, то у злоумышленника будет CORS-подобный доступ ко всем ресурсам. на этом домене. Короче говоря, CORS дает вам контроль над тем, как вы нарушаете такую же политику происхождения , что вам не нужно вводить полную уязвимость XSS.
Функция запроса $.support.cors основана на заголовке ответа HTTP Access-Control-Allow-Origin. может быть уязвимостью. Например, если веб-приложение имеет Access-Control-Allow-Origin: * на каждой странице, у злоумышленника будет тот же уровень доступа, что и у XSS-уязвимости. Будьте осторожны, на каких страницах вы вводите заголовки CORS, и старайтесь избегать * в максимально возможной степени.
Итак, чтобы ответить на ваш вопрос: НЕТ веб-приложению никогда не нужно вводить уязвимость XSS, поскольку существуют способы обхода SOP, такие как CORS / jsonp / междоменные прокси / access-control- происхождение .