Para evitar ataques XSS es necesario tener una rigurosa validación en el servidor, y sobre todo no mandar a imprimir al explorador lo que el usuario esta introduciendo sin ser validado correctamente.

Yo puedo utilizar firebug o greasemonkey para hacer lo que quiera con la página pero esto sólo se verá reflejado en mi máquina no para a otros usuarios a menos que logre guardarlo en una base de datos o semejante (esto sucede por no validar las entradas), lo cual se convertiría en un ataque XSS.

saludos buzu!