Защита от XSS подразумевает запрет использования script. Однако, атаку можно произвести и без тэга script. Рассмотрим пример
Использование события мыши:
<a onClick="alert('ok')">Click me</a>
Изображения Видео