Ами на теория html не може да го защитиш. Има някакви техники за обсфукиране на js, а пък хтмл например може да нахакаш на един огромен ред, който да започва с <html> и след милион символа да завършва на </html>. Това се прави лесно, но не бих те съветвал да го правиш. Ще стане много тежък. Най-ефективно ще си скриеш кода, като просто няма html, тоест всичко да е фалш. Тогава няма шанс някой да ти види кода. От инжекции спасението е prepared statements. От атаките срещу фронтенда е най-трудното. Хората непрекъснато говорят – валидация, валидация, валидация и после филтрация, филтрация, филтрация. Въпроса обаче, истинския въпрос е къде да поставиш границата, къде да спреш, къде да започне компромиса. Защото пълната защита срещу всички възможни js атаки просто означава страницата ти стане неизползваема напълно.
