Одним из наиболее важных шагов является дезинфекция любого пользовательского ввода до его обработки и / или возврата в браузер. PHP имеет некоторые функции filter ", которые могут быть использованы.
Обычно форма, которую обычно применяют атаки XSS, заключается в том, чтобы вставить ссылку на какой-то внешний сайт javascript, содержащий вредоносные намерения для пользователь. Узнайте больше об этом здесь .
Вы также захотите проверить свой сайт - я могу порекомендовать дополнение Firefox XSS Me .