保険的でも良いので、クライアントサイドのJavaScriptでXSSアタックの検知を行えるかどうか、以下にかすかな期待を。もしも私に力があれば是非とも試みたいところではあります。私にはよくわかっていないのでなんともいえませんけれど、わずかでも光が差せばと思っております。

XSSアタックでは、多くの場合、アタックにおいてDOM構造を破壊して悪意あるJavaScriptなどを注入します。これを検知して注入を阻止できないかどうか、もしくは、ユーザに注意を促せないかどうか。そうした仕組みをウェブアプリで出力する各ウェブページに、汎用的なjsライブラリとして読み込むだけで設定できないか。保険的にすぎないけれども。

DOMレベル2のEventsAPIモジュールは各ブラウザによって実装が異なると思われますけれど、以下で調べることは可能でしょう。

document.implementation.hasFeature("Events","2.0")

EventsAPIモジュールには、MutationEventsサブモジュールが含まれていることでしょう。ブラウザによってはきちんと実装されているかもしれません。Mutationイベントはドキュメントの構造が変化したときに発生します。このイベントを上手にハンドリングすれば、予期しないXSSアタックによるDOM構造の変化を拾えるかもしれません。XSSアタックを防止できないまでも、せめて、事後に、攻撃があったかもしれないことをユーザに通知できないでしょうか？こうした仕組みを汎用化できませんか？
MutationEventsサブモジュールについて詳しく調べれば何か有意義なことがわかるかもしれません…以上書いたことは妄想にすぎないことを重々承知しておりますけれど、それでもなんとかならないものかと期待してみたいのです。