XSS attacker är alltid tråkiga men generellt sätt så kan en attackerare göra precis allt som en vanlig användare kan, med undantag för CAPTCHA eller något som kräver dens lösenord. Givetvis kan även captcha knäckas, men det försvårar nämnvärt.
Men då du bygger sidan från grunden skulle jag lägga mycket prioritet på att inte tillåta javascript från användare. Generellt sätt kan man tvinga (framförallt) IE att köra javascript på en rad sätt och även större communities (playahead, snyggast, anstalten m.fl.) har visat sig vara sårbara på en eller flera punkter där.
Skrev för övrigt en artikel om samma ämne och hur man som programmerare för ett community kan skydda sig för A List Apart, adress
http://www.alistapart.com/articles/secureyourcode och
http://www.alistapart.com/articles/secureyourcode2
Mycket av det om står ska en webmaster redan veta men med lite tur kan de flesta lära sig något nytt. Vid intresse kan ni med fördel kolla in diskussionen som följde då det kom upp flertalet bra poänger där.
Mvh/ Niklas