Отличный обзор, но маленькое замечание: DOM-based XSS иногда недооценивают, а он реально может пройти мимо серверных фильтров и сделать зло намного хуже именно на клиенте. Поэтому важно не только сервер держать в голове, но и фронтенд проверять. В остальном - хороший разбор, полезно для новичков и не только.