une bonne page qui donne des références sur les exploits XSS
via @sebsauvage ;)
et j'ai fait une copie ici pour ne pas la perdre : http://shaarli.memiks.fr/files/postxss.html
et ça aussi : http://stackoverflow.com/questions/3146798/why-do-people-put-code-like-throw-1-dont-be-evil-and-for-in-front-of