В общем вопрос по php и безопастности.
К примеру, у меня гостевая книга, пользователь отправляет туда сообщение, но оно никак не фильтруется, для того чтобы была возможность писать HTML кодом, это необходимо в данном проекте.
С этим впридачу мы получаем XSS, собственно есть ли какой нить способ оставить возможность писать HTML кодом но прикрыть конкретно хищение\вывод кукисов?

Для начала я пологал, что надо всего лишь запретить document.cookie в запросе. Но естественно при разных манипуляций с регистром, шифровкой и т.д.. получается очень много комбинаций, выхода я не вижу.
Либо писать с HTML + XSS либо отключить HTML но тогда смысл этого скрипта теряется...
Может быть есть способы защиты от XSS не затрагивая HTML код???