bom! fiz a prova e acertei 42 das 60 
70% dos 71%
aproveitei a promoção do retake gratuito e estou voltando dia 15 para o retake nesse meio tempo estou revisando o conteudo…
Em um debate sobre uma pergunta que apareceu na OCMJEA6 para mim:
a pergunta se resumia a como evitar XSS e eram dadas as seguintes opções:
url-enconding “<” e ">"
scape “<” e ">"
garantir que os session cookies serão enviados somente em conexões HTTPS
e executar os “user-supplied scripts” em um server-side sandbox
bom! o livro utilizado não abordou o assunto, ele apenas cita a validação da input para previnir esse tipo de ataque.
nos simulados da epractize tive uma pergunta parecida e continha a opção de executar “user-supplied-scripts” em server-side sandbox inclusive com uma explicação bem legal.
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
diz que é necessario fazer o encode dos principais caracteres XML <, >, ", ', / e &
o link cita Bonus Rule #1: Use HTTPOnly cookie flag que se refere aos session cookies
até ler sobre isso tinha certeza sobre a resposta, agora balançou, queria saber da galera o que vocês acham ?