Hola,
Gracias siempre a vosotros Román. Yo creo que el mismo nombre "Cross Site Scripting" quiere decir "cuidado, porque pueden en tu Script código que se ejecute en tu Script, pero que venga de fuera...". La cosa es el juego que puede dar esto. Yo creo que desde luego puede dar mucho más juego que mostrar una alerta al usuario.
Desde luego que hacer "otras cosas" no será a lo mejor tan sencillo de "pasar" que el "alert", pero, si se consigue pasar el "alert" puede que ya sea indicio suficiente como para ir más allá. Desde luego hay que tener ganas de hacerlo, saber hacerlo y ponerse a hacerlo. Yo en esto es pez.
Pero, ya digo, intuyo (por el nombre que se le da al asunto) que la cosa puede resultar: al fin y al cabo es una inyección de código, es decir, se está incluyendo código que se ejecutará en "el entorno" de tu página, acaso con ciertos privilegios, precisamente por eso, y es código que viene de fuera y puede que con malas intenciones...
Yo imagino (desde mi desconocimiento) algo así como si se consiguiera incluir un Script PHP que tu página procesase. Pienso en herramientas que ayudan a realizar el "backup" de una base de datos: este tipo de programas suelen necesitar que tú incluyas determinado código en tu Script, de manera que dicho código se procese en tu Servidor, más aún, precisamente por eso, porque si no es desde tu Servidor no pueden llevar a cabo determinadas tareas.
Pues por ahí van los tiros. ¿No?
