Jest to trudne: należy przetestować każdy adres URL aplikacji i sprawdzić, czy w odpowiedzi znajdują się określone wzorce (i bardzo trudno jest mieć dobry algorytm, który może zrozumieć, który z nich jest dobry i zły javascript, lub trzeba skonfigurować ten skaner, który może być długi i trudny).
Po stronie serwera istnieje rozwiązanie open-source w czasie rzeczywistym o nazwie mod security. Jest to zapora aplikacji WWW: może wykrywać określone wzorce w żądaniach i/lub odpowiedziach. Działa na Apache jako moduł. Jest to głównie rozwiązanie produkcyjne i nie wykrywa wtrysku podczas opracowywania. Co więcej, potrzebujesz pewnych doświadczeń, aby je dostroić (co jest dobre i złe w wymianie danych z naszymi klientami), co może być trudne i nie chroni przed nowymi atakami lub bardziej inteligentnymi atakami (na przykład ponowne kodowanie znaków).
Nawiasem mówiąc, innym rozwiązaniem jest użycie Content Security Policy, ale nie jest ono dostępne we wszystkich przeglądarkach (dobrze, nikt obecnie nie czeka, poczekaj na Firefoksa 4 ;-).
Należy robić sprawdzanie zanim cokolwiek jest napisane nie po. –