はてなダイアリーにおけるXSS脆弱性に関する議論としてまとまっているawacs3のとこ
以前言及？したこともあるが，タグが使えるから必ずしも便利だとはいえない．むしろ html や css などしらなくても書ける日記サービスのほうが便利なんじゃなかろうか．ユーザによるカスタマイズが安全性を脅かすのであれば，はてなダイアリーにおける日記記述のルール(はてなダイアリーマークアップ言語とでもいうのか)を使用してみてはいかがか？というのは自分が hns ユーザだからかもしれない．以前言ったようにたとえばリンクを張る場合，a タグを記述するより

LINK http://d.hatena.ne.jp/usta/ ustaの日記

と記述さえすれば，

<a href="usta">http://d.hatena.ne.jp/usta/">ustaの日記</a>

などのように変換して html 出力してくれるようなそんな利便性．LINK の解析＆表示段階で脆弱性のフィルタを行って安全性の確保を行う．などなど．(14:24)
言われているが微妙に ; の処理が変だ．むしろプロトコルキーワードによる自動リンクはやめたほうがよいと思う．リンクしたければ LINK という記述をさせたほうがプログラム的にも楽なんじゃなかろうか．(14:30)
しかしながら独自キーワードによるマークアップが必ずしも安全であるとは言い切れない．実装次第．(14:35)
日記中の括弧「()」を表示時には文字参照に置き換える処理を入れるだけでもずいぶん違うと思うのだけど．(14:50)