ブラックリスト方式の対処が特に困難であるのはブラウザの仕様やバグです。Webサイト運営者は基本的にブラウザのバージョンや仕様/設定を制御することはできません。例えば、FirefoxはE4X(Ecma Script for XML)をサポートしています。この仕様を知らなければブラックリスト方式でスクリプトインジェクションを防ぐことはできません。
さらに困ったことには、セキュリティや仕様上の決まりごとより、仕様に合わないおかしなページでもなんとか表示できるような仕組みが優先された仕様がブラウザに実装されています。例えば、Internet Explorer 6ではタブやヌル文字、改行文字が属性名の途中に入っていても、何もなかったように処理してしまうケースは少なくありません。