Как защититься от хсс?

Question

Я делаю CTF, это соревнование, где вы должны получить флаг, используя определенные методы.Я работаю над проблемой, когда они получают флаг с помощью XSS, чтобы предупредить переменную javascript.Тем не менее, XSS небезопасен, и у меня не может быть такой проблемы с XSS на моем веб-сайте, где кто-то может делать то, что я бы не хотел, чтобы они делали. У меня вопрос: возможно ли защитить от плохих атак, но разрешить некоторые атаки, чтобы моя проблема CTF была успешной. Некоторые входные данные, которые я хотел бы оставить, выглядят как alert(flag)

Мой HTML-код:

<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8">
        <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">

        <link rel="stylesheet" href="https://stackpath.bootstrapcdn.com/bootstrap/4.1.3/css/bootstrap.min.css" integrity="sha384-MCw98/SFnGE8fJT3GXwEOngsV7Zt27NXFoaoApmYm81iuXoPkFOJwJ8ERdknLPMO"
            crossorigin="anonymous">
        <!--<link rel="stylesheet" href="css/challenge.css">-->
    </head>

    <body>
        <input type="text" id="text"/>
        <button class="btn btn-primary submitButton"></button>
        <p id="result">Result</p>
        <script>
            var flag;
            $.get("[website]/cgi-bin/challenge.py", function(data) {
                flag = data;
            });

            var value;
            $(".submitButton").on("click", function() {
                value = $("#text").val();
                $("#result").html(value);
            });
        </script>
        <script src="http://code.jquery.com/jquery-3.3.1.min.js" integrity="sha256-FgpCb/KJQlLNfOu91ta32o/NMZxltwRo8QtmkMRdAu8="
            crossorigin="anonymous"></script>
        <script src="https://cdnjs.cloudflare.com/ajax/libs/popper.js/1.14.3/umd/popper.min.js" integrity="sha384-ZMP7rVo3mIykV+2+9J3UJ46jBk0WLaUAdn689aCwoqbBJiSnjAK/l8WvCWPIPm49"
            crossorigin="anonymous"></script>
        <script src="https://stackpath.bootstrapcdn.com/bootstrap/4.1.3/js/bootstrap.min.js" integrity="sha384-ChfqqxuZUCnJSK3+MXmPNIyE6ZbWh2IMqE241rYiqJxyMiZ6OW/JmZQ5stwEULTy"
            crossorigin="anonymous"></script>
    </body>
</html>

$.get() просто получает строку типа "text" из файла Python и сохраняет ее во флаге переменной.Я заменил реальный сайт на [сайт].При необходимости могу вернуть сайт обратно.