Za sprečavanje XSS-a je krucijelno enkodiranje svega što se ispisuje na HTML strani a prosleđuje se kao URL parametar.
Dakle ako ti neko prosledi parametar <script>alert('prc');</script> i ti ga takvog ispišeš u HTML onda će se na tvojoj stranici izvršiti maliciozni JavaScript.
No, ukoliko svaki URL parametar pre ispisa provučeš kroz, recimo u slučaju PHP-a, funkciju
htmlspecialchars, onda će se <script> pretvoriti u <script> i tretiraće se kao tekst te postaje bezopasan.
Naravno ima tu još toga, nisam stručnjak, ali vođenje računa o ovome zatvara mislim 95% XSS rupa.