それこそスタッフしか変更しないものだったら良いのではないかしらと思った。
後、はてなダイアリーXSS対策なのだけれども、

• 6.スタイルシート内に @i(mport)? (url)?(...)という指定がある場合、
  1. urlで指定されたCSSファイルの取得に成功し
  2. urlで指定されたファイルのcontent-typeが「text/css」の場合で
  3. import回数が10回以内の場合
  には、そのファイルの内容をヘッダ内に挿入します。
  なお、この機能ははてなアンテナで当初利用可能であった@import機能からの移行をスムーズに行うための措置であり、ページの表示速度も遅くなるため、利用されないことを推奨します。
• 7.スタイルシート内の「\」文字で、その後に続く文字が「'」「"」「{」「}」「;」「:」「(」「)」「#」「A」「*」でないものを削除します。
• 8.スタイルシートを解析し、「javascript」「vbscript」「@import」「cookie」「eval」「expression」「behavior」「behaviour」「binding」「include-source」「@i」の文字列をその文字列が無くなるまで削除します

って6.と8.が矛盾してないかしらん。
後、src属性中の{}とか\は結局エスケープされてないし。