Ho il seguente JS (usando jQuery per brevità, ma non è necessario per la domanda):
$("<i></i>").html(userInput);
È possibile che qualcuno inserisca una stringa, userInput, in modo tale da eseguire correttamente un attacco XSS?
Ho provato a inserire un tag script con un avviso, ma non viene eseguito. Credo che poiché l'elemento è esterno al DOM XSS non funzionerà, ma non sono riuscito a trovare alcuna risorsa per confermarlo.