tienes que limpiar el contenido enviado por el usuario pero eso lo haces desde lenguaje de servidor. basicamente tienes que convertir todos los caracteres especiales de html en entidades. en php lo haces con la funcion htmlspecialchars. consulta el manual del lenguaje que estes utilizando para una funcion similar.