Ну неужели сложнее, чем HTML? Там же гораздо более простой синтаксис. Ну, импорт, ну и что? Тянуть и импорт тоже, понятное дело. Не вытянулось — рубить эту директиву. Я почему-то уверен, что написать санитайзер для CSS гораздо проще (я уж про незаметность для юзера не говорю), чем сделать то, что мы наблюдаем в последнюю неделю.

Другое дело (я в это почти не верю, но вероятность такая есть), что мы можем сейчас наблюдать не просто затыкание конкретной дыры, а полное перелопачивание системы безопасности, которое давно назревало и которое, в перспективе, может дать юзерам больше возможностей. Тот же вопрос с разрешением JS или Flash.