Hallo Felix.

Lass' mich mal überlegen, ob das wirklich so unpraktikabel ist:

1.) Code-Beispiel finden
2.) Version prüfen
3.) Version auf Freigabe prüfen
4.) bei fehlender Freigabe Filter anwenden:
    - jedes <script>-Element entfernen
    - jedes Eventhandler-Attribut entfernen
    - jede Expression aus dem Code entfernen

Punkt 4 ist m.E. unpraktikabel.
Schau dir dazu mal die Möglichkeiten an, XSS zu betreiben.

Beispiel:

exp/*<A STYLE='no\xss:noxss("*//*");  
xss:&#101;x&#x2F;*XSS*//*/*/pression(alert("XSS"))'>

Alle diese verschiedenen XSS-Varianten abzufangen, macht weder Spaß noch ist garantiert, dass man nicht eine vergessen hat.

Servus,
Flo