Ну это естественно, но JS то выполняется на клиенте
Так что далеко не уйдёшь, хотя если админ блондинка, можно реально сделать редирект на трой, видел даже на каком то сайтe, что файл сам грузанулся, и выполнился
А там и недалеко до пинча

Считаю не такой важной уязвимостью.ДАже при ковырянии движков,я не обращаю внимание на КСС,только если натыкаюсь нечаянно - выкладываю.Да,если я ее найду у ебя на сайте,я ее прикрою,но чтобы использовать для хака - отнють.Просто я сам никогда не кликаю по подобным ссылкам,и думаю чот другие ненамного глупее меня.

Если я правильно понимаю сам принцип XSS-атаки, то это неактуально. Наверняка на хоть чуть-чуть серьезных сайтах разработчики проверяют свои скрипты на наличие таких баг. А значит, они там встречаются крайне редко.

Считаю данную уязвимость всё-таки актуальной, потому что иногда нет других способов.
К тому же вспоминается недавняя XSS на яндексе, от которой угнано не мало кошелей

Товарищи администраторы и кодеры, скули, пхп инъекции тоже уже не актуальны!
Больше не нужно обращать на эти мелочи свое драгоценное внимание, ведь его можно потратить на игры в вконтакте!

Похоже ты прав

Считаю, что даже если в куках нет ничего интересного, от XSS нужно защитить все переменные, потому что XSS сейчас - это даже не уязвимость, а показатель небрежности веб-мастера.

Чтоб налитеть на XSS не обязательно кликать по подобным ссылкам. Считаю что бага серьезного характера, сама уязвимость направлена на клиенскую часть, ее возможности ограничены только самим атакующим. Возможнсти от похищения куков/фишинга до ботнетов