Является ли эта система вообще важной / критической?
Если это так, немедленно отключите ее и наймите консультанта по безопасности, чтобы обеспечить ее для вас.
Безопасность трудная проблема.Не думайте, что вы можете сделать это правильно с первого раза, потому что вы этого не сделаете.
Если это просто система, с которой вы играете?
Попытка остановить XSS с помощью фильтрации определенных словпроигрышная битва.Если вы не хотите вставлять HTML, просто закодируйте HTML все .Если вам нужен HTML, вам нужно проанализировать HTML, убедиться, что он действителен и не собирается ломать страницу, и только после этого убедиться, что он не работает.содержат любые элементы или атрибуты, которые вам не нужны.