Возможности Javascript
 

1111111111

Это нужно чтобы серверный язык мог бы выполнять JS. Хотя конечно же никакой сервер не станет выполнять у себя сценарии, которые ему навязывают извне. А вот чтобы сервер принял по URL такое, это должно быть параметром запроса, например форма отправляет такие данные. А далее уже зависит от сайта, его направленности. Например здесь форум, который рассматривает различные сценарии, но выполняться будут только те, что обрамлены ВВ-кодом и не на странице непосредственно, а в песочнице. В коде же вставленном непосредственно на странице во избежание XSS опасные символы будут заменены на html сущности следовательно на клиенте он выполняться не будет. Вот так размещена ваша строка кода на станице этой:

<script>alert(27213123123123)</script>

111111111

Вы как разработчик регулируете что сохранять на сервере присланное извне, а что нет. Можете вырезать запрещенное, можете нет, заменяя опасное на показанное выше. Конечно способов атак много и вопрос безопасности гораздо сложнее, рассказывать обо всем, это долго, так что "поиск по паутине" в помощь, читайте, изучайте.

Karen989898, вы можете использовать заголовок Content-Security-Policy, чтобы указать, что загрузка скриптов и прочего должна происходить только с конкретного сервера, содержащего доверенный код или прочие ресурсы или не происходить вообще.

Также вам наверняка будет интересно узнать, что у элемента <iframe> есть атрибут sandbox.

laimas, Malleys, мне кажется автора интересуют возможные способы "применения" xss-атаки, а не способы защититься от нее.

Ну можно и такое предполагать, если "уязвимость имеется и можно с ней дальше работать", это желание ломать.

111111111

11111111

Пытаетесь взломать? За это бьют по попе. ;)