Hola,

Un sistema bastante bueno, si usas un lenguaje de servidor, es que al principio de cada script JSP, PHP, o ASP crítico es que compruebes que el referer es una página tuya. Por ejemplo, si tienes un script que manda un email a tus usuarios para validar un email de suscripción, o que sube un archivo por input type file, o cosas así, lo mejor es comprobar que la página de la que recoje las variables GET o POST es tuya.

Otra opción es limitar en el archivo .htacces el que el servidor web sólo sirva los archivos que tú quieras.

Son dos medidas simples que te pueden ahorrar muchos quebraderos de cabeza. Aunque son muchas las formas en que se pueden aporvechar de vulnerabilidades.

Un saludo,
eContento