XSS対策と言えば厳密な入力値チェックと用途に応じたサニタイジングが原則

んでもって、自分の認識としてはこんな感じ

入力値チェックとは「正しくない入力を全て弾くためのもので、入力直後に行われる」もの
サニタイジングとは「正しくない入力を全て無害化するためのもので、出力直前に行われる」もの

前者はホワイトリスト的で、後者はブラックリスト的な感じと言えばいいだろうか･･･
入力値チェックで弾ききれないものを、サニタイジングで個別に無害化って感じで使うってイメージで･･･