XSS対策の基本は、タグを使わせないことだと思うんだけど、Blogなどのようにどうしても使いたい場合は、どうしたらいいだろう?
はてなの対策は一般的に有効なんだろうか?
http://hatenadiary.g.hatena.ne.jp/keyword/%E3%81%AF%E3%81%A6%E3%81%AA%E3%83%80%E3%82%A4%E3%82%A2%E3%83%AA%E3%83%BCXSS%E5%AF%BE%E7%AD%96

例えば、擬似プロトコル(「javascript:」、「vbscript:」、「about:」)、イベントハンドラを削除すれば安全?
うーん、そういう文書どこかに落ちてないかなぁ?