Лучший способ протестировать XSS - это использовать специализированный инструмент для тестирования этих типов уязвимостей. Wapiti и w3af являются хорошими инструментами с открытым исходным кодом, которые могут тестировать XSS, SQL Injection и худшие уязвимости. Acunetix проста в использовании, но это дорого, однако свободное издание будет проверять только для XSS, который является то, что вам нужно: http://www.acunetix.com/cross-site-scripting/scanner.htm
Я считаю, что «анти-подделки tolken» вы имеете в виду систему защиты XSRF. Я не считаю, что автоматическое тестирование может быть создано против XSRF. XSRF не имеет абсолютно никакого отношения к типу данных, отправляемых в запросе, а скорее к тому, откуда он идет. Инструменты были написаны для тестирования XSRF, и w3af имеет один из этих тестов. Однако каждый автоматический тест XSRF, который я видел, ПОЛНОСТЬЮ БЕСПЛАТНО. Если вы хотите, чтобы тест XSRF был выполнен правильно, вы должны сделать это самостоятельно: http://www.owasp.org/index.php/Testing_for_CSRF_%28OWASP-SM-005%29