Я предлагаю регулярно тестировать уязвимости с помощью автоматизированного инструмента и фиксировать все, что он находит. Гораздо проще предложить библиотеку, чтобы помочь с определенной уязвимостью, а затем для всех атак XSS в целом.
Skipfish - это инструмент с открытым исходным кодом от Google, который я изучал : он находит довольно много вещей и, кажется, стоит использовать.