A filtragem e escape de string tem sido o padrão para prevenção de XSS há algum tempo. Infelizmente, essa abordagem tem muitos problemas.
A boa notícia é que, com a Política de Segurança de Conteúdo, podemos lutar contra o XSS usando as ferramentas certas!
Aqui está uma demonstração da nova diretiva nonce para evitar a execução de <script> s inline indesejados.
Você precisará da estrutura NodeJS e Express para executar o servidor.
https://gist.github.com/jaysoo/5691492
Nota: Isso só está disponível no Chrome no momento desta redação.