Per proteggerti dagli xss non hai bisogno di fare nulla di così complicato.
Devi invece filtrare ogni input proveniente dall'utente e fare in modo che venga scartato se non è corretto.
Questo oltre a proteggerti dagli xss previene anche gli attacchi di tipo sql injection, oltre a garantirti una certa solidità dei dati che ricevi.

Ovviamente il tipo di filtraggio/validazione è strettamente legato al tipo di dato che devi ricevere in input, quindi non so darti informazioni più specifiche a riguardo.