Quisiera agregar que los desarrolladores despistados no son los unicos que pueden recibir ataques XSS.

He visto en varios bugtracker de aplicaciones muy conocidas(Joomla!, Drupal, vBulletin) que es más común de los pensamos incluso para desarrolladores con mucha experiencia. Si bien con eval se pueden producir ataques, con GreaseMonkey es mucho más sencillo y practico que usar por ejemplo el protocolo Javascript:.

Pienso que poco a poco Javascript se está perfilando como un lenguaje al que hay que respetar y documentarse muy bien para evitar este tipo de ataques y los que lleguen en el futuro. Alguna vez un colega desarrollo una red social y bastó solo un alert() en una caja de texto para dejar loca su aplicación.

Saludos.