es posible... siempre y cuando en la excepción tengas que imprimir la entrada del usuario y esté contaminada...

esa sería la única forma de que te propaguen un ataque XSS, en caso de que tu controles por completo la información de la excepción es casi imposible que te afecte...

te recuerdo que un ataque XSS mas que nada afecta al navegador, pues de ahí derivan los problemas... mientras protejas los datos que el usuario te proporciona no hay manera de que te suceda... (:

mientras un ataque XSS no llegue al navegador no pasa nada!!