В зависимости от того, на чем написан ваш сайт, могут потребоваться дополнительные меры предосторожности. Если ваш сайт полностью написан, например, на Javascript, то вы должны быть особенно осторожны, чтобы предотвратить любую инъекцию XSS. OWASP является источником номер один для этого (https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet). Избегайте document.write для динамического создания HTML, и вместо этого используйте шаблонную среду, такую как Mustache.js
Если вы отправляете какие-либо формы на свой сервер, выполните проверку на стороне клиента, но не позволяйте этому быть вашей последней линией защиты. Как и любой веб-сайт, проверка на стороне сервера является вашей основной защитой от SQLi и т. Д., Но используйте тактику глубины защиты. Используйте SSL при отправке личной информации.
Если вы берете какой-либо пользовательский ввод и затем отображаете его снова, например, в форме поиска, убедитесь, что вы удалили любой HTML из этого ввода.
Разработка мобильных веб-приложений не сильно отличается от разработки приложений для настольных компьютеров, одинаковые принципы безопасности важны и всегда применяются. Кроме того, ваше мнение о том, как сделать сайт безопасным с помощью HTML-тегов, неверно. HTML не обеспечивает безопасность, это просто язык разметки.