Как вы решаете этот Xss из Stackoverflow?
Вывод в кодировке html.
Все html-сущности заменяются их экранированными символами, например, "<" заменяется на <code><.
Дополнительная информация о Википедии вместе со списком символов HTML, http://en.wikipedia.org/wiki/Character_encodings_in_HTML
Джефф фактически разместил свое Sanitizer на RefactorMyCode.com
Вы можете увидеть его здесь .Возможно, это не последняя версия, которую они используют в настоящее время, но она покажет вам основы того, как это работает.