XSS対策は入力チェックで行うべきではありません。
HTMLに依存する問題なんだから、HTMLを生成する段階で無害化するのが筋でしょう。
本質から外れた対応を行っていた場合、様々な問題が発生します。

A社はPC向けのコミュニティサイト作成にあたり、入力時に危険な文字列を除去/無害
化することでXSS対策を行っていました。
コミュニティサイトは順調にユーザ数を伸ばし、携帯からの日記入力も可能としたい
という機能追加要件が発生します。
しかし、携帯サイト構築のノウハウを持っていなかったA社では対応が難しいため、
B社が携帯サイトの構築を受注することになりました。
使用するDBはPC向けのものと同一、携帯からも日記が書き込めるという売りです。
携帯から投稿した日記はPCからも参照することが出来ます。
B社は無害化処理をHTML出力時に行う構成でシステムを構築しました。

システムリリース後、悪意を持ったユーザが携帯サイトからスクリプトを含む記事を
投稿すると・・・

この場合、責任があるのはA社でしょうか？B社でしょうか？