Uma das formas de executar esse ataque é aproveitar campos que aceitam a entrada de HTML para inserir links para código malicioso, geralmente em JavaScript ou VBScript. Desta forma, o script de um domínio não confiável é executado no contexto de um site confiável.

Luke Francl, do Rail Spikes, desenvolveu o plugin xss_terminate, baseado no plugin acts_as_sanitized. Este plugin trata todos os campos dos modelos de sua aplicação Rails para evitar a inserção de código malicioso. Desta forma, o uso do método h() em suas views torna-se desnecessário. O plugin é configurável, permitindo que o desenvolvedor defina campos que não devem ser tratados.

No mesmo post, Luke ainda fala sobre o uso de Erubis para aumentar a segurança e aponta outras alternativas.