Вряд ли это будет популярный тут ответ, судя по вышесказанному, но
1) XSS это безусловно плохо. И их безусловно надо исправлять. Но вот должен ли это делать разработчик бесплатно — это зависит от ситуации.
1а) Если Вы заказывали разработку движка и его Вам пытаются сдать «как есть», то разработчик безусловно должен бесплатно все исправить.
1б) Если разработчик на зарплате у Вас сидел и занимался этим движком, а сейчас уже уволен, то бесплатно с него это требовать странно.
1в) Если Вы заказывали разработку движка и вот спустя Х месяцев нашлась XSS уязвимость, то здесь все зависит от здравого смысла. Мы лично, как разработчики, в течении полугода фиксим все бесплатно, если вдруг находится что-то, но если прошло больше полугода — извините, уже прайс-лист.
1г) Если Вы купили движок, то смотрите условия лиц.соглашения. Цена движка обычно напрямую зависит от того, фиксит ли что-то разработчик или предоставляет как есть.
2) По поводу разных браузеров современных и верстки, все немного проще, но опять же не так однозначно.
2а) Если Вы требуете от разработчика, что бы сайт везде выглядел одинаково, но при этом контент у Вас в хтмл редакторе набивает секретарша знакомая только с вордом, извините, разработчик тут прав на все 100.
2б) Вообще кроссбраузерность строго говоря к верстальщику, а не к программисту. Так что смотря что Вам предоставлял разработчик, если верстку делал не он, а Вы предоставляли и он лишь натягивал, то вопросы к верстальщику.
2в) Сделать сайт абсолютно идеально и одинаково выглядящем во всех браузерах это задача повышенной хитрости. Возможно, но «по умолчанию» мало кто так делает, допускаются какие-то не особо значительные нюансы. Так что все зависит от того, насколько Вы придираетесь. Если пиксел немного съехал в одной из версий хрома, то имхо зря. А если весь контент поехал в половине браузеров, то это другое дело уже.
