Además de escanear los archivos cargados por el usuario, también me gustaría asegurarme de que los formularios para perfiles de usuario, comentarios, etc. no puedan ser utilizados incorrectamente para enviar un script malicioso. ¿Cuáles son algunos buenos métodos conocidos para hacerlo? ¿Debería realizarse la comprobación de los ataques de inyección de scripts en el lado del cliente o del servidor?
FWIW, he comprobado algunos módulos relacionados con la seguridad en NPM, pero en general parecen estar relacionados con la seguridad de otros módulos, y es posible que haya perdido algo útil.
Una forma que conozco, es eliminar todas las etiquetas HTML, pero creo que es un poco complicado y probablemente no sea efectivo en todos los casos.
Actualización: tal como se planteó la pregunta, probablemente dio la impresión de estar cerca de xss, a pesar de la etiqueta de inyección. Así que esto es solo para aclarar que se trata tanto de xss como de inyección de SQL.