Im Gegensatz zur Vereitelung von SQL-Injections gibt es beim Aufbau eines XSS-Schutzes keine eindeutige, immer gleiche Vorgehensweise, sondern mehrere Varianten der Vereitelung, die je nach Zielsetzung auszuwählen sind: Im einfachsten Fall gibt keinen Grund, vom Nutzer hinzugefügte HTML-Tags zu erlauben: Ein Feld in einem Adressformular namens „first_name“ soll stets nur Vornamen enthalten. Sämtliche HTML-Tags sind unerwünscht und müssen deshalb entfernt werden. Hierfür kann die PHP-Funktion „strip_tags()“ verwendet werden, ohne den zweiten, optionalen Parameter für die Benennung erlaubter Tags zu nutzen.

Falls dem Nutzer in einem Eingabefeld eines Forums einige elementare HTML-Tags zur Text-Formatierung erlaubt sein sollen, kann der PHP-Funktion „strip_tags()“ bei Aufruf ein String mit erlaubten Tags übergeben werden. Allerdings bleiben damit auch alle innerhalb der Tags enthaltenen HTML-Attribute samt eventuell gefährlichem Script-Code übrig. Also ist noch ein zweiter Schritt nötig, um die Attribute zu entschärfen. Alternativ könnte man hier auf einen BBCode-Parser ausweichen.

Wenn in einem Support-Forum HTML- oder JavaScript-Code präsentiert und diskutiert werden soll, also Quellcode-Listings lesbar sein sollen, bietet sich die Behandlung mit den PHP-Funktionen „htmlspecialchars()“ oder „htmlentities()“ an. Hierbei werden unter anderem die Zeichen „<“ und „>“ umgewandelt, die jedes HTML-Tag umgeben.

Der TYPO3-Core bietet zusätzlich zwei Methoden an, die dabei helfen sollen, Cross-Site-Scripting zu verhindern: In der Klasse „tslib_content“ befindet sich die Methode „removeBadHTML()“. Diese Methode kann von TypoScript aus über „stdWrap“ genutzt werden, sie ist prinzipiell auch vom eigenen PHP-Code aus aufrufbar. Weil sie längere Zeit nicht gepflegt worden ist, bietet sie keinen sicheren Schutz vor heutigen XSS-Attacken. Auf TypoScript-Ebene sollten Entwickler anstelle von „removeBadHTML“ besser über „stdWrap“ die Eigenschaft „htmlspecialchars“ nutzen oder eine nutzerdefinierte PHP-Funktion einbinden und aufrufen.