Ele tentou fazer isso por que via? O formulário de pesquisa? Como ele injetava o XSS no teu site?
Olha esse seu post no meu site:
https://ninjastic.space/post/65509980https://beta.ninjastic.space/post/65509980Ele renderiza o conteudo que você escreveu, certo?
O que acontece se você bota um javascript malicioso tipo
<script>alert("XSS")</script> no meio do post? Um site mal pensado poderia renderizar esse pedaço de texto como HTML e executar o javascript.
No meu caso eu trato todo o texto dos posts como inseguro e faço o escaping dos caracteres (nesse caso seria o
< e
>). Sem risco de XSS.