Topik: xss
Menjadikan JWT sebagai session tanpa validasi ulang adalah hal berbahaya. Jika ada celah XSS maka attacker dapat mencuri token JWT tersebut. Terdapat celah XSS pada WordPress plugin All in One SEO Pack versi 3.6.1 ke bawah. Wordfence melabeli celah keamanan XSS ini dengan tingkat medium. Laporan dari The Forrester Wave untuk provider Web Application Firewall Q1 2020 yang unggul adalah Akamai Technologies dan Imperva Cloud WAF. 
