gostei tb desse exemplo do XXS, mas não ficou claro, se qual era o veto. o client, ou browser o servidor, ou mesmo objetos DOM. se puderem esclarecer seria bem interessante, senao ficou confuso se nao foi apenas o que chamam de XXS self que é algo de baixa gravidade que muitos devs ignoram e as vezes o proprio browser ja bloqueia alguns tipos de xxs self.
